存在於韌體中的漏洞往往影響大量裝置,不過能否有效修復就視乎等待製造商是否可以在短時間內推出更新。最近 HP 一系列企業用電腦產品被發現存在漏洞,不過被公開後仍然未有更新。
在上月有 Binarly 的安全研究人員在黑帽安全大會上討論了 HP 企業電腦中存在的 SMM 韌體漏洞(CVE-2022-31644,CVE-2022-31645 和 CVE-2022-31646),他們表示其實在一年前已經向 HP 報告有關漏洞,不過經過長時間仍然未獲修復。受影響的電腦產品包括多個手提電腦、桌面電腦、POS 和工作站型號。
HP 方面回應指,他們已經意識到漏洞的存在,鼓勵所有客戶使用最新的軟件、驅動程式和韌體保持他們的系統為最新狀態,以幫助堵塞漏洞。大部分漏洞在公開後應該在 8 月初左右獲最新的更新修復。這些漏洞可以讓駭客從竊取數據到完全關閉裝置等等,嚴重程度從 7.5 到 8.2 不等。目前漏洞已經向公衆公開,因此如果仍然存在於韌體就會帶來更大的安全風險,如果正在使用 HP 裝置,就應該儘快更新。
來源:The Register