HP-BIOS: BSI warnt vor Schwachstelle, die Codeausführung ermöglicht

Der Computer-Hersteller HP hat mehrere schwerwiegende Sicherheitslücken geschlossen, die es Angreifern ermöglichten, unentdeckt beliebigen Code auszuführen. Für zahlreiche Systeme gibt es daher jetzt dringend empfohlene UEFI/BIOS-Updates. HP hat insgesamt Firmware-Updates für mehr als 200 Modelle von Laptops, Workstations, Point-of-Sale-PCs und Thin Clients veröffentlicht, um zwei als hoch eingestufte Sicherheitslücken in der UEFI-Firmware zu schließen. Das geht aus einer Sicherheitswarnung des Bundesamts für Sicherheit in der Informationstechnik hervor. In dem veröffentlichten Sicherheitshinweis heißt es:

HP BIOS: Schwachstelle ermöglicht Codeausführung

Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Zusammenfassung:

  • Ein lokaler Angreifer kann eine Schwachstelle in HP BIOS ausnutzen, um beliebigen Programmcode auszuführen.
  • Das BIOS ist die Firmware bei IBM PC kompatiblen Computern.

Der Hersteller warnt ebenfalls vor den Schwachstellen und bittet Betroffene, die neuen Firmware-Updates schnellstmöglich einzuspielen. Nach Angaben des Unternehmens können die Schwachstellen CVE-2021-3808 und CVE-2021-3809 auf Systemen mit früheren Versionen der UEFI-Firmware die Ausführung von beliebigem Code ermöglichen. Beide Schwachstellen wurden als hoch eingestuft und erhielten CVSS-Scores von 8,8 von 10.

HP Chromebook x2 im Test: Eines der besten Tablets mit Chrome OS

HP sagt, dass die Schwachstellen Geräte zahlreicher Produktlinien in verschiedenen Gerätekategorien betreffen; eine vollständige Liste ist über den Sicherheitshinweis verfügbar. Laut dem Online-Magazin Bleeping Computer stehen derzeit allerdings noch nicht für alle betroffene Geräte Patches zur Verfügung. Derzeit bietet HP nur sehr wenig Informationen über die Schwachstellen. Auch in den Listen der National Vulnerability Database gibt es keine weiteren Einzelheiten zu den Auswirkungen der Sicherheitslücke. Nur der Sicherheitsforscher Nicholas Starke, der die Schwachstelle entdeckt hat, hat in seinem Blog einige weiterführende Details veröffentlicht.

"Diese Schwachstelle könnte es einem Angreifer, der mit Kernel-Level-Privilegien (CPL == 0) arbeitet, ermöglichen, seine Privilegien im System Management Mode (SMM) zu erweitern", schreibt Starke. "Die Ausführung im SMM gibt einem Angreifer volle Rechte über den Host, um weitere Angriffe auszuführen."

Vielen Dank für die Übermittlung dieses News-Tipps!

Siehe auch:
Update, Aktualisierung, Updates, Upgrade, Sicherheitsupdate, Neu, Softwareaktualisierung, Software Updates Update, Aktualisierung, Updates, Upgrade, Sicherheitsupdate, Neu, Softwareaktualisierung, Software Updates
Diese Nachricht empfehlen


Kommentar abgeben Netiquette beachten!
Einloggen
Jetzt als Amazon Blitzangebot
Ab 10:00 Uhr ieGeek Überwachungskamera Aussen Akku Wlan,2K Kabellose Solarpanel IP Kamera mit PIR Bewegungsmelder, akustischen und visuellen Alarm, 20M Farbnachtsicht,Cloud/SD Storage, 2-Wege Audio, 2.4 GHzieGeek Überwachungskamera Aussen Akku Wlan,2K Kabellose Solarpanel IP Kamera mit PIR Bewegungsmelder, akustischen und visuellen Alarm, 20M Farbnachtsicht,Cloud/SD Storage, 2-Wege Audio, 2.4 GHz
Original Amazon-Preis
109,99
Im Preisvergleich ab
?
Blitzangebot-Preis
64,89
Ersparnis zu Amazon 41% oder 45,10
Nur bei Amazon erhältlich
Amazon.de 64,89 €
Alle Amazon Blitzangebote
Beliebte Downloads
Weitere Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
Sicherheit & Backup Preisvergleich
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!