HP hat Firmware-Updates für mehr als 200 Desktop-, Laptop-, Thin-Client- und Point-of-Sale-PC-Modelle publiziert. Mit den Updates sollen zwei Sicherheitslücken in der UEFI-Firmware geschlossen werden.

Nach Angaben des Unternehmens können die Schwachstellen CVE-2021-3808 und CVE-2021-3809 auf Systemen, auf denen frühere Versionen der UEFI-Firmware laufen, die Ausführung von beliebigem Code ermöglichen. Beide Schwachstellen werden mit einem CVSS-Score von 8,8 als schwerwiegend eingestuft.

Die Lücke betrifft zahlreiche Produktlinien in verschiedenen Gerätekategorien, darunter die Business-Geräte der Linien EliteBook, Elite Dragonfly oder ProDesk. Eine vollständige Liste ist im Security Advisory verfügbar.

Auf die Probleme aufmerksam gemacht wurde HP laut 'Bleeping Computer' vom Forscher Nicholas Starke. Ihm zufolge könnte die Schwachstelle einem Angreifer, der mit Rechten auf Kernel-Ebene arbeitet, ermöglichen, seine Rechte zu erweitern. So könnten weitere Angriffe ausgeführt werden. Das Ziel eines Angriffes wäre es, das Bios zu überschreiben, führt 'Bleeping' aus. Das bedeutet, dass ein Angreifer Malware einschleusen könnte, die weder von Antiviren-Tools noch durch eine Neuinstallation des Betriebssystems entfernt werden könnte.