سیکیورٹی محققین نے HP کی بزنس پر مبنی نوٹ بکس کے متعدد ماڈلز میں چھپی ہوئی کمزوریاں پائی ہیں جو کہ بغیر پیچ کے جاری ہیں، (Sic) Binarily نے بلیک کوڈ کانفرنس میں سامعین کو بتایا۔
اس نے کہا کہ یہ خامیاں "TPM پیمائش سے پتہ لگانا مشکل" ہیں۔
فرم ویئر کی خامیوں کے سنگین مضمرات ہو سکتے ہیں کیونکہ وہ ایک مخالف کو روایتی آپریٹنگ سسٹم کے حفاظتی تحفظات سے بچتے ہوئے پس منظر میں چلنے والے آلے پر طویل مدتی استقامت حاصل کرنے کی اجازت دیتے ہیں۔
Binarly کی طرف سے نشاندہی کی گئی اعلیٰ شدت کے خطرات HP EliteBook ڈیوائسز کو متاثر کرتے ہیں اور فرم ویئر کے سسٹم مینجمنٹ موڈ (SMM) میں میموری کی خرابی کے معاملے پر تشویش کا اظہار کرتے ہیں، اس طرح حملہ آور کو اعلیٰ مراعات کے ساتھ صوابدیدی کوڈ پر عمل کرنے کے قابل بناتا ہے۔
- CVE-2022-23930 (CVSS سکور: 8.2) – اسٹیک پر مبنی بفر اوور فلو
- CVE-2022-31640 (CVSS سکور: 7.5) – غلط ان پٹ کی توثیق
- CVE-2022-31641 (CVSS سکور: 7.5) – غلط ان پٹ کی توثیق
- CVE-2022-31644 (CVSS سکور: 7.5) – حد سے باہر لکھنا
- CVE-2022-31645 (CVSS سکور: 8.2) – حد سے باہر لکھنا
- CVE-2022-31646 (CVSS سکور: 8.2) – حد سے باہر لکھنا
تین کیڑے (CVE-2022-23930، CVE-2022-31640، اور CVE-2022-31641) HP کو جولائی 2021 میں مطلع کیے گئے تھے، باقی تین خطرات (CVE-2022-31644، CVE-2022-31644، CVE-31641، CVE-2022-31641) اور CVE-2022-31646) اپریل 2022 میں رپورٹ کیا گیا۔
یہ بات قابل غور ہے کہ CVE-2022-23930 بھی ان 16 حفاظتی خامیوں میں سے ایک ہے جنہیں اس فروری میں پہلے جھنڈا لگایا گیا تھا کیونکہ HP کے متعدد انٹرپرائز ماڈلز کو متاثر کیا گیا تھا۔
SMM ایک خاص مقصد کا موڈ ہے جو فرم ویئر کے ذریعے سسٹم کے وسیع فنکشنز جیسے پاور مینجمنٹ، ہارڈویئر انٹرپٹس یا دیگر ملکیتی کوڈ کو سنبھالنے کے لیے استعمال کیا جاتا ہے۔
ایس ایم ایم جزو میں نشاندہی کی گئی کوتاہیوں کو آپریٹنگ سسٹم کے مقابلے میں اعلیٰ مراعات کے ساتھ مذموم سرگرمیاں انجام دینے کے لیے استعمال کیا جا سکتا ہے۔
اگرچہ HP نے مارچ اور اگست میں خامیوں کو دور کرنے کے لیے تخفیف جاری کی ہے، لیکن انھوں نے ابھی تک تمام متاثرہ ماڈلز کے لیے پیچ کو آگے بڑھانا ہے۔ اس کا مطلب یہ ہے کہ جب تک وہ پیچ انسٹال نہیں کرتے تب تک صارفین سائبر حملوں کے خطرے میں رہتے ہیں۔
"بہت سے معاملات میں، فرم ویئر سپلائی چین کی تمام پرتوں اور اختتامی نقطہ کسٹمر ڈیوائس کے درمیان ناکامی کا واحد نقطہ ہے،" بنارلی نے کہا۔ "کسی ایک وینڈر کے لئے کمزوریوں کو ٹھیک کرنا کافی نہیں ہے۔"
"فرم ویئر سپلائی چین کی پیچیدگی کے نتیجے میں، ایسے خلا موجود ہیں جو مینوفیکچرنگ اینڈ پر بند کرنا مشکل ہے کیونکہ اس میں ڈیوائس وینڈرز کے کنٹرول سے باہر کے مسائل شامل ہیں۔"
یہ انکشاف اس وقت بھی ہوا جب پی سی بنانے والے نے گزشتہ ہفتے اپنے سپورٹ اسسٹنٹ ٹربل شوٹنگ سافٹ ویئر میں استحقاق میں اضافے کی خامی (CVE-2022-38395، CVSS سکور: 8.2) کے لیے اصلاحات کیں۔
"حملہ آور کے لیے DLL ہائی جیکنگ کے خطرے سے فائدہ اٹھانا اور HP پرفارمنس ٹیون اپ فیوژن شروع کرنے پر مراعات کو بڑھانا ممکن ہے،" کمپنی نے ایک ایڈوائزری میں نوٹ کیا۔
اردو 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی 
Français du Canada