Skip to main content

Allvarliga sårbarheter i HP-enheter lämnades öppna i månader

Genrebild av cyberkriminell
(Foto: Pixabay)

Flertalet allvarliga säkerhetsbrister som berör ett antal modeller av bärbara och stationära datorer riktade mot företag, kassasystem och arbetsstationer från HP har lämnats öppna i månader enligt säkerhetsforskare.

Detta innebär att enorma mängder användare riskerar få sina klientskydd knäckta, filer stulna eller att olika former av digitala konton röjs eftersom säkerhetsbristerna tillåter att skadlig kod kan köras.

Än värre är att det enligt experter handlar om brister i firmware och därmed riskerar ligga kvar även efter en ominstallation av operativsystemet.

Delvis lösning

Enligt företaget Binarly så har de hittat sex sårbarheter, tre i juli 2021 och sedan ytterligare tre i april 2022, samtliga sårbarheter berör minneshantering i System Management Module.

Sårbarheterna benämns som CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), och CVE-2022-31641 (7.5) med respektive allvarlighetsbedömning inom parantes.

Sedan avslöjandet så har HP publiserat tre åtgärder för tre av bristerna samt BIOS-uppdateringar för att åtgärda bristerna på vissa av modellerna.

Däremot har HP inte lyckats släppa några åtgärder för enheter i Elite, Zbook eller ProBook-serien samt för ProDesk, EliteDesk och ProOne-serierna. Arbetsstationer som Z1, Z2, Z4 och Zcentral är fortsatt i riskzonen för de tidigare nämnda sårbarheterna.

Även om Binarly har varnat för de potentiella risker som finns med att inte ordna åtgärder för de brister som hittats så påtalar de även hur pass omfattande och svårt arbete det är att fixa problemen för en enskild tillverkare.

"Som ett resultat av den komplexitet som finns inom firmware så är det svårt för en enskild tillverkare att hitta lösningar, eftersom det involverar saker som ligger utanför den enskilda tillverkarens kontroll" skriver Binarly i sin rapport.

TechRadar Pro har hört av sig till HP för en kommentar kring när de planerar att släppa buggfixar för de påverkade enheterna och kommer uppdatera artikeln om vi får svar.

Källa: BleepingComputer (Öppnas i ny flik)

Joakim Ewenson är en prylnörd av rang, älskar att testa produkter och att få berätta om upplevelserna i bild, text och video. Lätt Apple-nörd till vardags men tar sig mer än gärna an alla former av teknik, oavsett vad som finns utanpå såväl innaför skalet.

Bidrag från