惠普推送BIOS更新解決影響200多個計算機型號的高危漏洞
你是否擁有一台惠普筆記本電腦、台式機或PoS PC?那麼你可能需要確保其BIOS是最新的。該公司剛剛為200多個設備型號發布了更新,修復了UEFI固件中的兩個高嚴重級別漏洞。據Bleeping Computer報導,惠普已經就潛在的安全漏洞發出警告,這些漏洞可能允許以內核權限執行任意代碼,這將使黑客能夠進入設備的BIOS並植入惡意軟件,而這些惡意軟件無法通過傳統的殺毒軟件或重新安裝操作系統來清除。
這兩個漏洞–CVE-2021-3808和CVE-2021-3809–的CVSS 3.1基本得分都是8.8分的高嚴重程度。
惠普公司沒有透露關於這些漏洞的任何技術細節。這一點留給了安全研究員尼古拉斯-斯塔克,他發現了這些漏洞。
斯塔克寫道:”這個漏洞可能允許攻擊者以內核級權限(CPL==0)執行,將權限提升到系統管理模式(SMM)。在SMM模式下執行操作,攻擊者就可以獲得對主機的全部權限,從而進一步實施攻擊。”
Starke補充說,在一些惠普機型中,有一些緩解措施需要被繞過才能使漏洞發揮作用,包括惠普的Sure Start系統,該系統可以檢測到固件運行時間被篡改的情況。
受該漏洞影響的設備相當廣泛,包括商務筆記本電腦,如Elite Dragonfly、EliteBooks和ProBooks;商務台式電腦,包括EliteDesk和EliteOne;零售點專用電腦,如Engage;台式工作站電腦(Z1、Z2系列);還有四個瘦客戶端電腦。
你可以在這裡看到受影響的惠普設備和相應的SoftPaqs的完整列表,並非所有的設備都已收到更新:
https://support.hp.com/us-en/document/ish_6184733-6184761-16/hpsbhf03788