HP tem Publicados atualizações de firmware para mais de 200 modelos de laptops, estações de trabalho, PCs de ponto de venda e thin clients para resolver duas vulnerabilidades em seus UEFI firmware.
A empresa diz que as vulnerabilidades, CVE-2021-3808 e CVE-2021-3809, “podem permitir a execução de código arbitrário” em sistemas que executam versões mais antigas do firmware UEFI. Ambas as vulnerabilidades foram classificadas como de alta gravidade e receberam CVSS notas de 8,8 em 10.
A HP diz que as falhas afetam membros de várias linhas de produtos em várias categorias de dispositivos; uma lista completa está disponível através do aviso de segurança. (BleepingComputer notas Nem todos os dispositivos afetados receberam um patch, então vale a pena ficar de olho nesse aviso.)
A empresa não fornece informações adicionais sobre essas vulnerabilidades no comunicado e, no momento da redação deste artigo, o Banco de Dados Nacional de Vulnerabilidades também não. Mas o pesquisador de segurança que descobriu a falha, Nicholas StarkeEle ofereceu mais alguns detalhes em seu blog.
“Esta vulnerabilidade pode permitir que um invasor executando com privilégios no nível do kernel (CPL == 0) encaminhe privilégios para o modo de gerenciamento do sistema (SMM)”, diz Starke. “Executar no SMM dá ao invasor privilégios totais no host para realizar novos ataques.”
A HP não respondeu imediatamente a um pedido de mais informações sobre essas vulnerabilidades ou uma explicação sobre por que não creditou a Starke por divulgar as falhas no aviso de segurança.