{"id":272770,"date":"2022-09-13T15:11:40","date_gmt":"2022-09-13T13:11:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272770"},"modified":"2022-09-13T15:26:14","modified_gmt":"2022-09-13T13:26:14","slug":"hp-rechner-sechs-firmware-schwachstellen-seit-einem-jahr-ungepatcht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/13\/hp-rechner-sechs-firmware-schwachstellen-seit-einem-jahr-ungepatcht\/","title":{"rendered":"HP-Rechner: Sechs Firmware-Schwachstellen seit einem Jahr ungepatcht"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In der Firmware von HP-Systemen f\u00fcr den Business-Bereich (Notebooks, Desktops etc.) gibt es sechs gravierende Schwachstellen, die seit einem Jahr nicht durch Updates behoben wurden. Bei einigen HP-Enterprise-Systemen gibt es bis heute keine Firmware-Updates, obwohl diese seit einem Monat \u00f6ffentlich bekannt sind. Das schreibt das Sicherheitsteam von Binarly, welches einige dieser Schwachstellen in HP EliteBooks auf der Black Hat 2022 Konferenz besprochen hat.<\/p>\n

<\/p>\n

HP EliteBooks sind ja nicht ganz preiswerte Notebooks, die speziell f\u00fcr den gesch\u00e4ftlichen Einsatz in \"\"Unternehmensumgebungen angeboten wurden. Aber es gibt von HP ja auch Desktop-Systeme f\u00fcr den Business-Einsatz. Hier h\u00e4tte ich erwartet, dass die Firma HP auf bekannt gewordene Schwachstellen zeitnah reagiert und diese schlie\u00dft.<\/p>\n

 <\/p>\n

\"HP
\nHP EliteBook 845, Quelle: HP<\/p>\n

Es sieht aber so aus, als ob das nicht der Fall ist – denn der Sicherheitsanbieter Binarly schreibt im Blog-Beitrag Binarly Finds Six High Severity Firmware Vulnerabilities In HP Enterprise Devices<\/a>, dass HP da gepatzt habe. Selbst einem Monat nachdem die Schwachstellen \u00f6ffentlich bekannt wurden, haben einige HP-Unternehmensger\u00e4te noch immer keine Updates erhalten.<\/p>\n

6 Schwachstellen in der Firmware<\/h2>\n

Binarly Sicherheitsforscher haben sechs gravierende Schwachstellen in diversen HP-Produktlinien gefunden und diese dann an HP weitergegeben. Die Schwachstellen erm\u00f6glichen die Ausf\u00fchrung von beliebigem Code im Zusammenhang mit dem System Management Mode (SMM). Nachfolgend sind die betreffenden Schwachstellen mit ihrem CVSSS-Score angegeben.<\/p>\n

\"HP<\/p>\n

Das HP PSIRT-Team hat zum 11. August 2022 die Sicherheitswarnung HPSBHF03806 (HP PC BIOS August 2022 Additional Updates for Potential SMM and TOCTOU Vulnerabilities<\/a>) dazu ver\u00f6ffentlicht. Dort hei\u00dft es, dass im System-BIOS bestimmter HP PC-Produkte potenzielle Sicherheitsl\u00fccken entdeckt wurden. Die Schwachstellen erm\u00f6glichen die Ausf\u00fchrung von beliebigem Code, die Ausweitung von Berechtigungen, die Verweigerung von Diensten und die Offenlegung von Informationen.<\/p>\n

HP hat f\u00fcr einen Teil der betroffenen Ger\u00e4te BIOS-Updates ver\u00f6ffentlicht, um diese potenziellen Schwachstellen zu beseitigen. Allerdings steht der Status der Firmware-Updates f\u00fcr eine Reihe Ger\u00e4te noch auf \"pending\", d.h. es ist kein Update verf\u00fcgbar. Die Liste der betroffenen Ger\u00e4te (HP Elite, HP Zx etc)) sowie die Download-Links der verf\u00fcgbaren Firmware-Updates lassen sich in der obigen verlinkten Sicherheitswarnung HPSBHF03806 nachlesen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In der Firmware von HP-Systemen f\u00fcr den Business-Bereich (Notebooks, Desktops etc.) gibt es sechs gravierende Schwachstellen, die seit einem Jahr nicht durch Updates behoben wurden. Bei einigen HP-Enterprise-Systemen gibt es bis heute keine Firmware-Updates, obwohl diese seit einem Monat \u00f6ffentlich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-272770","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272770"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272770\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}