Plusieurs vulnérabilités très graves affectant un certain nombre d’ordinateurs portables professionnels HP (s’ouvre dans un nouvel onglet)ordinateurs de bureau professionnels (s’ouvre dans un nouvel onglet)systèmes de point de vente et postes de travail (s’ouvre dans un nouvel onglet)sont restés sans patch pendant des mois, ont averti les chercheurs.
Cela pourrait signifier que d’innombrables utilisateurs de HP risquent de voir leurs terminaux cassés, leurs fichiers volés ou leurs comptes numériques compromis, car toutes les failles trouvées permettent l’exécution de code arbitraire.
De plus, comme les failles sont dans le firmware, elles peuvent persister même après la réinstallation du système d’exploitation, ont averti les experts.
Correction partielle
Selon Binarly, la société a trouvé un total de six vulnérabilités – trois en juillet 2021 et trois autres en avril 2022, qui sont toutes des vulnérabilités de corruption de mémoire du module de gestion du système (SMM).
Les failles sont suivies comme CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), et CVE-2022-31641 (7.5).
Depuis la divulgation, HP a publié trois avis de sécurité pour trois des failles et poussé trois mises à jour du BIOS, corrigeant les failles sur certains des modèles.
Cependant, la société n’a publié aucun correctif pour les appareils des séries Elite, Zbook ou ProBook, ainsi que pour les séries ProDesk, EliteDesk et ProOne. Les postes de travail HP, y compris Z1, Z2, Z4 et Zcentral, sont également toujours vulnérables aux failles.
Même si Binarly a mis en garde contre le risque potentiel associé à l’absence de correctifs pour ces failles, la société a souligné les difficultés liées à la correction des vulnérabilités pour un seul fournisseur.
« En raison de la complexité de la chaîne d’approvisionnement des micrologiciels, il existe des lacunes difficiles à combler du côté de la fabrication car cela implique des problèmes indépendants de la volonté des fournisseurs d’appareils », a-t-il déclaré dans son rapport.
TechRadar Pro a contacté HP pour un commentaire sur le moment où il prévoit de publier des correctifs pour les appareils concernés, et mettra à jour l’article si nous recevons une réponse.
Passant par: BipOrdinateur (s’ouvre dans un nouvel onglet)