Firmware: Etliche HP-Rechner mit Sicherheitslücken, aber ohne Patches

Gemeldet wurden die Sicherheitslücken vor vielen Monaten, doch etliche Businessgeräte von HP haben noch keine Updates erhalten.

Artikel veröffentlicht am ,
HP-Logo auf HP-Hardware
HP-Logo auf HP-Hardware (Bild: Guillaume Preat/Pixabay)

Auf der Black-Hat-Konferenz haben Forscher der Sicherheitsfirma Binarly vor rund einem Monat mehrere Sicherheitslücken in Businessrechnern von HP veröffentlicht. Gemeldet haben die Sicherheitsforscher diese und weitere Lücken teils vor über einem Jahr an HP. Gepatcht wurde jedoch nur ein Teil der betroffenen Geräte. Nun haben die Sicherheitsforscher einen Bericht und weitere Lücken veröffentlicht. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Stellenmarkt
  1. Informatiker - Business Analyst / Requirements Engineer (m/w/d)
    DGN Deutsches Gesundheitsnetz Service GmbH, Düsseldorf
  2. UI/UX Designer (m/w/d)
    secunet Security Networks AG, Hannover
Detailsuche

Drei Fehler meldeten die Forscher bereits im Juli 2021, drei weitere im April 2022. HP hatte also zwischen vier Monaten und mehr als einem Jahr Zeit, die Sicherheitslücken zu beheben und Updates für die betroffenen Geräte bereitzustellen.

Bei den Sicherheitslücken handelt es im Speicherkorruptionsprobleme im System Management Module (SMM), die zur Ausführung von beliebigem Code führen können. Da die Privilegien des SMM-Subsystems (Ring -2) die des Betriebssystems (Ring 0) übersteigen, können sie beispielsweise dazu genutzt werden, um Sicherheitsfunktionen wie Secure Boot auszuschalten oder dauerhafte Hintertüren einzubauen, die nur schwer zu entdecken sind.

Patches nur für einen Teil der betroffenen Geräte

Die Lücke CVE-2022-23930 hat HP im März 2022 auf allen betroffenen Systemen bis auf Thin Clients geschlossen. Für drei Sicherheitslücken (CVE-2022-31644, CVE-2022-31645, CVE-2022-31646) wurden zwar am 9. August 2022 Patches veröffentlicht, doch viele Business-Notebooks (Elite, Zbook, Probook), Business-Desktop-PCs (Prodesk, Elitedesk, Proone) und etliche weitere Geräte haben laut dem Advisory von HP noch keine Updates erhalten.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.10.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Patches für zwei weitere Sicherheitslücken (CVE-2022-31640, CVE-2022-31641) wurden im August 2022 veröffentlicht, wobei das letzte Update vom 7. September stammt. Etliche HP-Workstations haben aber auch hier noch kein Update erhalten.

Die sechs Sicherheitslücken:

  • CVE-2022-23930 - Stack-basierter Pufferüberlauf, der die Ausführung von beliebigem Code ermöglicht.
  • CVE-2022-31644 - Out-of-bounds write auf CommBuffer, der teilweise eine Umgehung der Validierung ermöglicht.
  • CVE-2022-31645 - Out-of-bounds write auf CommBuffer, da die Größe des Zeigers, der an den SMI-Handler gesendet wird, nicht überprüft wird.
  • CVE-2022-31646 - Out-of-bounds write basierend auf direkter Speichermanipulations-API-Funktionalität, was zur Erhöhung der Privilegien und zur Ausführung von beliebigem Code führt.
  • CVE-2022-31640 - Unsachgemäße Eingabevalidierung, die Angreifern die Kontrolle über die CommBuffer-Daten ermöglicht und den Weg für unbeschränkte Änderungen öffnet.
  • CVE-2022-31641 - Callout-Schwachstelle im SMI-Handler, die die Ausführung von beliebigem Code ermöglicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Airpods Pro 2 im Test
Apple schaltet Lärm und Konkurrenz aus

Mit sinnvollen Verbesserungen sind die Airpods Pro 2 das Beste, was es derzeit an ANC-Hörstöpseln gibt. Aber Apples kundenfeindliche Borniertheit nervt.
Ein Test von Ingo Pakalski

Airpods Pro 2 im Test: Apple schaltet Lärm und Konkurrenz aus
Artikel
  1. Streit mit Magnus Carlsen: Schachgroßmeister Niemann soll über 100 Mal betrogen haben
    Streit mit Magnus Carlsen
    Schachgroßmeister Niemann soll über 100 Mal betrogen haben

    Schachweltmeister Magnus Carlsen wirft dem Großmeister Hans Niemann Betrug vor - eine neue Untersuchung stärkt die Vorwürfe.

  2. Dr. Mike Eissele: Es kann immer wieder technologische Revolutionen geben
    Dr. Mike Eissele
    "Es kann immer wieder technologische Revolutionen geben"

    Chefs von Devs Teamviewer-CTO Dr. Mike Eissele gibt einen tiefen Einblick, wie man sich auf eine Arbeitswelt ohne Bildschirme vorbereitet.
    Ein Interview von Daniel Ziegener

  3. Anwalt spendet Abmahnerlöse: Datenschutzvereine sehen sich instrumentalisiert
    Anwalt spendet Abmahnerlöse
    Datenschutzvereine sehen sich instrumentalisiert

    Die Berichte über Abmahnungen wegen des Einsatzes von Google Web Fonts häufen sich. Weil ein Abmahnanwalt nun seine Erlöse spendet, gibt es Streit.
    Ein Bericht von Lennart Mühlenmeier

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Inno3D RTX 3090 Ti 1.999€, MSI B550 Mainboard 118,10€, LG OLED 48" 799€, Samsung QLED TVs 2022 (u. a. 65" 899€, 55" 657€) • Alternate (Acer Gaming-Monitore) • MindStar (G-Skill DDR4-3600 16GB 88€, Intel Core i5 2.90 Ghz 99€) • 3 Spiele für 49€ [Werbung]
    •  /