భద్రతా పరిశోధకులు HP యొక్క వ్యాపార-ఆధారిత నోట్బుక్ల యొక్క అనేక మోడళ్లలో దాచబడిన దుర్బలత్వాలను అన్ప్యాచ్ చేయడాన్ని కొనసాగించారు, (Sic) బ్లాక్ కోడ్ సమావేశంలో శ్రోతలకు బైనరీ చెప్పారు.
ఈ లోపాలను "TPM కొలతలతో గుర్తించడం కష్టం" అని పేర్కొంది.
ఫర్మ్వేర్ లోపాలు తీవ్రమైన ప్రభావాలను కలిగి ఉంటాయి, ఎందుకంటే అవి బ్యాక్గ్రౌండ్లో నడుస్తున్న పరికరంలో ఒక విరోధిని దీర్ఘకాలిక పట్టుదలతో సాధించడానికి అనుమతిస్తాయి, సంప్రదాయ ఆపరేటింగ్ సిస్టమ్ భద్రతా రక్షణలను తప్పించుకుంటాయి.
Binarly ద్వారా గుర్తించబడిన అధిక-తీవ్రత దుర్బలత్వాలు HP EliteBook పరికరాలను ప్రభావితం చేస్తాయి మరియు ఫర్మ్వేర్ యొక్క సిస్టమ్ మేనేజ్మెంట్ మోడ్ (SMM)లో మెమరీ అవినీతికి సంబంధించిన కేసుకు సంబంధించినవి, తద్వారా దాడి చేసే వ్యక్తి అత్యధిక అధికారాలతో ఏకపక్ష కోడ్ను అమలు చేయడానికి వీలు కల్పిస్తుంది -
- CVE-2022-23930 (CVSS స్కోర్: 8.2) – స్టాక్ ఆధారిత బఫర్ ఓవర్ఫ్లో
- CVE-2022-31640 (CVSS స్కోర్: 7.5) - సరికాని ఇన్పుట్ ధ్రువీకరణ
- CVE-2022-31641 (CVSS స్కోర్: 7.5) - సరికాని ఇన్పుట్ ధ్రువీకరణ
- CVE-2022-31644 (CVSS స్కోరు: 7.5) – హద్దులు దాటి వ్రాయండి
- CVE-2022-31645 (CVSS స్కోరు: 8.2) – హద్దుల వెలుపల వ్రాయండి
- CVE-2022-31646 (CVSS స్కోరు: 8.2) – హద్దుల వెలుపల వ్రాయండి
మూడు బగ్లు (CVE-2022-23930, CVE-2022-31640, మరియు CVE-2022-31641) HPకి జూలై 2021లో తెలియజేయబడ్డాయి, మిగిలిన మూడు దుర్బలత్వాలు (CVE-2022-316124, CVE-2022-31640, CVE-54 మరియు CVE-2022-31646) ఏప్రిల్ 2022లో నివేదించబడింది.
HP నుండి అనేక ఎంటర్ప్రైజ్ మోడల్లపై ప్రభావం చూపుతున్నట్లు ఈ ఫిబ్రవరిలో గతంలో ఫ్లాగ్ చేసిన 16 భద్రతా లోపాలలో CVE-2022-23930 కూడా ఒకటి.
SMM అనేది పవర్ మేనేజ్మెంట్, హార్డ్వేర్ అంతరాయాలు లేదా ఇతర యాజమాన్య కోడ్ వంటి సిస్టమ్ వైడ్ ఫంక్షన్లను నిర్వహించడానికి ఫర్మ్వేర్ ఉపయోగించే ప్రత్యేక ప్రయోజన మోడ్.
SMM కాంపోనెంట్లో గుర్తించబడిన లోపాలు, ఆపరేటింగ్ సిస్టమ్ కంటే ఎక్కువ అధికారాలతో దుర్మార్గపు కార్యకలాపాలను నిర్వహించడానికి ఉపయోగించబడతాయి.
HP మార్చి మరియు ఆగస్ట్లలో లోపాలను పరిష్కరించడానికి ఉపశమనాలను విడుదల చేసినప్పటికీ, వారు ఇంకా అన్ని ప్రభావిత మోడల్ల కోసం పాచెస్ను ముందుకు తీసుకురాలేదు. అంటే కస్టమర్లు ప్యాచ్ను ఇన్స్టాల్ చేసేంత వరకు సైబర్టాక్లకు గురయ్యే ప్రమాదం ఉంది
"అనేక సందర్భాలలో, ఫర్మ్వేర్ అనేది సరఫరా గొలుసు యొక్క అన్ని లేయర్లు మరియు ఎండ్పాయింట్ కస్టమర్ పరికరం మధ్య వైఫల్యం యొక్క ఒకే పాయింట్" అని బైనార్లీ చెప్పారు. "ఒకే విక్రేత కోసం దుర్బలత్వాలను పరిష్కరించడం సరిపోదు."
"ఫర్మ్వేర్ సరఫరా గొలుసు యొక్క సంక్లిష్టత ఫలితంగా, పరికర విక్రేతల నియంత్రణకు మించిన సమస్యలను కలిగి ఉన్నందున తయారీ ముగింపులో అంతరాలను మూసివేయడం కష్టం."
PC మేకర్ గత వారం దాని సపోర్ట్ అసిస్టెంట్ ట్రబుల్షూటింగ్ సాఫ్ట్వేర్లో ప్రివిలేజ్ ఎస్కలేషన్ లోపం (CVE-2022-38395, CVSS స్కోర్: 8.2) కోసం పరిష్కారాలను రూపొందించినందున బహిర్గతం కూడా వస్తుంది.
"HP పెర్ఫార్మెన్స్ ట్యూన్-అప్ ఫ్యూజన్ను ప్రారంభించినప్పుడు దాడి చేసే వ్యక్తి DLL హైజాకింగ్ దుర్బలత్వాన్ని ఉపయోగించుకోవడం మరియు అధికారాలను పెంచుకోవడం సాధ్యమవుతుంది" అని కంపెనీ ఒక సలహాలో పేర్కొంది.