HP hat Sicherheitslücken (immer) noch nicht gepatcht

14. September 2022, 11:57
  • security
  • lücke
  • Binarly
  • hp
image
Foto: Desola Lanre-Ologun / Unsplash

Security-Experten hatten das Unternehmen auf die Schwachstellen in Business-Computern aufmerksam gemacht. Doch die Patches lassen auf sich warten.

Mehrere Schwachstellen in Business-Computern von HP bleiben ungepatcht, obwohl Sicherheitsforscher zum Teil schon vor einem Jahr darauf aufmerksam gemacht hatten, berichtet 'The Register'. Die Sicherheitslücken würden einen CVS-Score von 7.5 bis 8.2 aufweisen und damit als "kritisch" gelten.
Forscher von Binarly hatten die Lücken an der Sicherheitskonferenz Black Hat thematisiert. Mit diesem öffentlichen Vortrag stehe Cyberkriminellen eigentlich auch ein "Know-how-Kit" für mögliche Angriffe zur Verfügung, so die Tech-Website.
Ein HP-Sprecher erklärte, man sei sich der "potenziellen SMM-Schwachstellen bewusst, die von Binarly gemeldet wurden", und verwies auf eine Sicherheitswarnung vom März, die eine der Lücken betraf (CVE-2022-23930). "Sicherheit hat für HP immer oberste Priorität und wir schätzen die Beiträge von Binarly, die dazu beitragen, HP-Produkte sicherer zu machen", so der Sprecher weiter zu 'The Register'.
Offenbar werden aber Patches für 3 der Schwachstellen (CVE-2022-31644, CVE-2022-31645 und CVE-2022-31646) für mehrere Business-Notebooks, Desktops, Verkaufsstellensysteme und Workstations bei HP noch immer als "ausstehend" aufgeführt. Auch die Lücken CVE-2022-31640 und CVE-2022-31641 seien für einige Workstation-Modelle und Thin-Client-PCs noch nicht gepatcht.
Laut Alex Matrosov, CEO und Mitbegründer von Binarly, hat sein Team die Schwachstellen im Juli 2021 und April 2022 gegenüber HP offengelegt, bevor es im August an der Black-Hat-Konferenz darüber gesprochen und dann letzte Woche auch einen Blogbeitrag dazu veröffentlicht habe.
Auf die Frage von 'The Register', ob Binarly wisse, wann HP plane, die Fehler zu beheben, sagte Matrosov, er habe nichts vom Anbieter gehört. "Es sollte gemäss dem koordinierten Veröffentlichungszeitplan bereits am 10. August gepatcht werden." Er fügte hinzu, es könne aber auch "besonders schwierig" sein, Firmware-Lücken vollständig zu beheben, da sie normalerweise nicht nur einen Anbieter betreffen, sondern jeden, der den Code von Independent BIOS Developers in seiner UEFI-Firmware-Software verwendet.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023