Некоторые встроенные ПО в многочисленных компьютерах HP до сих пор являются носителями опасных неисправленных уязвимостей. При этом обнаружены они были еще в июле 2021 года.
В августе 2022 года, по информации из отчета Binarly , специалисты опубликовали некоторые недочеты , но поставщик так и не выпустил обновления для безопасности тех моделей, которым это было необходимо. Таким образом, многие корпоративные клиенты стали уязвимыми для киберпреступников.
Обнаруженные недочеты связаны прежде всего с повреждением памяти System Management Module, которая является частью микропрограммы, обеспечивающей низкоуровневое управление оборудованием и питанием.
Недостатки работы SMM могут стать причиной того, что функции безопасности окажутся недействительными. Это дает возможность преступникам установить вредоносное ПО.
Перечислим неисправленные уязвимости:
CVE-2022-23930 — переполнение буфера стека;
CVE-2022-31644, CVE-2022-31645 — запись за пределами буфера CommBuffer;
CVE-2022-31646 — запись за пределами границ на основе функций API прямого манипулирования памятью;
CVE-2022-31640 — неправильная проверка ввода данных;
CVE-2022-31641 — уязвимость Callout в обработчике SMI.
Компания Binarly утверждает, что исправление всех недостатков встроенного ПО представляется трудоемким из-за сложной цепочки поставок встроенного ПО.