Múltiples vulnerabilidades de alta gravedad que afectan a una serie de portátiles empresariales HP (se abre en una pestaña nueva)PC de escritorio empresariales (se abre en una pestaña nueva)sistemas de punto de venta y estaciones de trabajo (se abre en una pestaña nueva)han estado sentados sin parches durante meses, advirtieron los investigadores.
Esto podría significar que innumerables usuarios de HP corren el riesgo de que se rompan sus terminales, se roben sus archivos o se comprometan sus cuentas digitales, ya que todas las fallas encontradas permiten la ejecución de código arbitrario.
Además, como las fallas están en el firmware, pueden persistir incluso después de reinstalar el sistema operativo, advirtieron los expertos.
Arreglo parcial
Según Binarly, la compañía encontró un total de seis vulnerabilidades: tres en julio de 2021 y tres más en abril de 2022, todas las cuales son vulnerabilidades de corrupción de memoria del Módulo de administración del sistema (SMM).
Los defectos se rastrean como CVE-2022-23930 (8.2), CVE-2022-31644 (7.5), CVE-2022-31645 (8.2), CVE-2022-31646 (8.2), CVE-2022-31640 (7.5), y CVE-2022-31641 (7.5).
Desde la divulgación, HP ha publicado tres avisos de seguridad para tres de las fallas y ha impulsado tres actualizaciones de BIOS, corrigiendo las fallas en algunos de los modelos.
Sin embargo, la compañía no ha lanzado ningún parche para los dispositivos de las series Elite, Zbook o ProBook, así como para las series ProDesk, EliteDesk y ProOne. Las estaciones de trabajo HP, incluidas Z1, Z2, Z4 y Zcentral, también son vulnerables a las fallas.
Aunque Binarly advirtió sobre el riesgo potencial asociado con no tener parches para estas fallas, la compañía enfatizó las dificultades que surgen al corregir las vulnerabilidades para un solo proveedor.
“Como resultado de la complejidad de la cadena de suministro de firmware, existen brechas que son difíciles de cerrar en el extremo de la fabricación, ya que involucra problemas que escapan al control de los proveedores de dispositivos”, dijo en su informe.
TechRadar Pro se comunicó con HP para obtener un comentario sobre cuándo planea lanzar correcciones para los dispositivos afectados y actualizará el artículo si recibimos una respuesta.
A través de: BleepingEquipo (se abre en una pestaña nueva)