HP за год не исправила 6 уязвимостей

Пользователи устройств компании HP уязвимы на протяжении года. Как сообщают эксперты Binarly, известно как минимум шесть неисправленных уязвимостей, первые новости о которых датируются июлем 2021 года. Месяц назад специалисты Binarly во время конференции Black Hat 2022 публично рассказали об этих уязвимостях, однако компания HP не предприняла каких-либо действий по их устранению.

Эти уязвимости связаны с повреждением модуля управления системой, которая является частью UEFI – аналога BIOS.

• CVE-2022-23930 – позволяет переполнять буфер стека;
• CVE-2022-31644 и CVE-2022-31645 – позволяют делать запись за пределами буфера CommBuffer;
• CVE-2022-31646 – запись за пределами границ на основе функций API прямого манипулирования памятью. Позволяет повышать привилегии;
• CVE-2022-31640 – обход проверки ввода в CommBuffer;
• CVE-2022-31641 – уязвимость Callout в обработчике SMI.