HP hat Sicherheitslücken (immer) noch nicht gepatcht

14. September 2022 um 11:57
  • security
  • lücke
  • Binarly
  • hp
image
Foto: Desola Lanre-Ologun / Unsplash

Security-Experten hatten das Unternehmen auf die Schwachstellen in Business-Computern aufmerksam gemacht. Doch die Patches lassen auf sich warten.

Mehrere Schwachstellen in Business-Computern von HP bleiben ungepatcht, obwohl Sicherheitsforscher zum Teil schon vor einem Jahr darauf aufmerksam gemacht hatten, berichtet 'The Register'. Die Sicherheitslücken würden einen CVS-Score von 7.5 bis 8.2 aufweisen und damit als "kritisch" gelten.
Forscher von Binarly hatten die Lücken an der Sicherheitskonferenz Black Hat thematisiert. Mit diesem öffentlichen Vortrag stehe Cyberkriminellen eigentlich auch ein "Know-how-Kit" für mögliche Angriffe zur Verfügung, so die Tech-Website.
Ein HP-Sprecher erklärte, man sei sich der "potenziellen SMM-Schwachstellen bewusst, die von Binarly gemeldet wurden", und verwies auf eine Sicherheitswarnung vom März, die eine der Lücken betraf (CVE-2022-23930). "Sicherheit hat für HP immer oberste Priorität und wir schätzen die Beiträge von Binarly, die dazu beitragen, HP-Produkte sicherer zu machen", so der Sprecher weiter zu 'The Register'.
Offenbar werden aber Patches für 3 der Schwachstellen (CVE-2022-31644, CVE-2022-31645 und CVE-2022-31646) für mehrere Business-Notebooks, Desktops, Verkaufsstellensysteme und Workstations bei HP noch immer als "ausstehend" aufgeführt. Auch die Lücken CVE-2022-31640 und CVE-2022-31641 seien für einige Workstation-Modelle und Thin-Client-PCs noch nicht gepatcht.
Laut Alex Matrosov, CEO und Mitbegründer von Binarly, hat sein Team die Schwachstellen im Juli 2021 und April 2022 gegenüber HP offengelegt, bevor es im August an der Black-Hat-Konferenz darüber gesprochen und dann letzte Woche auch einen Blogbeitrag dazu veröffentlicht habe.
Auf die Frage von 'The Register', ob Binarly wisse, wann HP plane, die Fehler zu beheben, sagte Matrosov, er habe nichts vom Anbieter gehört. "Es sollte gemäss dem koordinierten Veröffentlichungszeitplan bereits am 10. August gepatcht werden." Er fügte hinzu, es könne aber auch "besonders schwierig" sein, Firmware-Lücken vollständig zu beheben, da sie normalerweise nicht nur einen Anbieter betreffen, sondern jeden, der den Code von Independent BIOS Developers in seiner UEFI-Firmware-Software verwendet.

Loading

Mehr zum Thema

image

KI-Vielfalt wird für Firmen zum Sicherheitsrisiko

Anstatt einer generellen KI setzen Unternehmen je länger, je mehr auf spezialisierte Modelle, die für besondere Aufgaben herangezogen werden. Damit steigen die Sicherheitsprobleme.

publiziert am 17.7.2026
imageAbo

Schweizer Anwaltskanzlei schildert Reaktion auf Cyberangriff

Die Kanzlei reagierte rasch. Hinter dem Angriff steckt eine in der Schweiz noch kaum bekannte Ransomware-Bande.

publiziert am 16.7.2026
image

Security-Fachleute misstrauen KI – mehr oder weniger

KI kann die Effizienz erhöhen, aber manche fühlen mehr Stress als früher.

publiziert am 15.7.2026
image

SAP schliesst 20 Sicherheitslücken

Der Softwarekonzern hat in Kooperation mit Sicherheitsspezialisten mehrere Löcher in seinen Geschäftsanwendungen gestopft. Vier davon sind als besonders kritisch eingestuft.

publiziert am 15.7.2026