Duas falhas com grau de gravidade 8.8 numa escala que vai até dez foram corrigidas na última terça-feira (dia 11 de Maio) pela HP: ambas afetam mais de 200 produtos da HP – notebooks, desktops, PCs de ponto-de-venda, estações de trabalho desktop e thin clients. Em todos eles a vulnerabilidade permite a execução de código com privilégios de Kernel.
Veja isso
Centenas de modelos de impressoras HP vulneráveis à RCE
Lenovo, HP e Acer farão PC com processador russo
Em seu comunicado sobre o assunto (link no final da notícia) intitulado “BIOS do PC HP – Atualizações de segurança de maio de 2022”, a HP identificou as plataformas afetadas e os SoftPaqs correspondentes, com versões mínimas que atenuam as possíveis vulnerabilidades. Segundo a HP, “potenciais vulnerabilidades de segurança foram identificadas no BIOS (UEFI Firmware) para determinados produtos de PC HP, o que pode permitir a execução de código arbitrário. A HP está lançando atualizações de firmware para mitigar essas possíveis vulnerabilidades”.
Versões mais recentes poderão ser disponibilizadas e as versões mínimas listadas podem se tornar obsoletas. As falhas estão registradas como CVE-2021-3808 e CVE-2021-3809. Elas foram descobertas em novembro de 2021 pelo pesquisador Nicholas Starke. Segundo ele, “esta vulnerabilidade pode permitir que um invasor executando com privilégios de nível de kernel (CPL == 0) escalone privilégios para o Modo de Gerenciamento do Sistema (SMM). A execução no SMM dá ao invasor privilégios totais sobre o host para realizar ataques adicionais”.
O comunicado da HP está em
“hxxps://support.hp.com/us-en/document/ish_6184733-6184761-16/hpsbhf03788”