HP-BIOS: Pufferüberlauf ermöglicht Rechteausweitung, Update ist verfügbar

HP veröffentlicht ein Sicherheitsupdate für diverse Business-Notebooks und -PCs. Damit wird eine Schwachstelle behoben, die Angreifer zum Ausweiten ihrer Rechte und zum Ausführen von Code missbrauchen könnten.

Allzu sehr geht HP jedoch nicht in die Tiefe. Die Sicherheitsmeldung beschränkt sich auf: "Im System-BIOS bestimmter HP PC-Produkte wurde eine potenzielle Sicherheitslücke entdeckt, die eine Ausweitung der Berechtigungen und die Ausführung von Code ermöglichen kann." Daher gebe HP Firmware-Updates heraus, die die potenzielle Schwachstelle entschärfen. Unklar ist, ob die Lücke aus dem Netz ausnutzbar ist, etwa über manipulierte Netzwerkpakete.

Zahlreiche Modelle betroffen

Immerhin hat die Schwachstelle jedoch einen CVE-Eintrag mitsamt Risikobewertung erhalten. Die Lücke mit dem Eintrag CVE-2022-37018 hat von HP den CVSS-Wert 7.9 erhalten, das Risiko stuft das Unternehmen somit als "hoch" ein.

In der Sicherheitsmeldung listet HP zig betroffene Systeme und zugehörige BIOS-Updates, teilweise auch für Linux, auf. Betroffen sind etwa mehrere HP Business-Notebooks wie EliteBooks, ProBooks und ZBooks, Business Desktop PCs wie mehrere Elite Slice-, EliteDesk-, EliteOne-, ProDesk- und ProOne-Modelle, POS-Systeme wie Engage One, MP9 G2 und RP9 G1 sowie Desktop Workstation PCs Z1 AiO G3, Z2 Mini G3 oder einige Z238- und Z240-Systeme.

Wenn auch Details zu konkreten Angriffsmöglichkeiten und Auswirkungen fehlen, hilft die Einstufung als hochriskante Lücke. Administratoren von betroffenen HP-Geräten sollten die verfügbaren BIOS-Updates zügig herunterladen und installieren.

Kürzlich mussten Administratoren von HP-Druckern aktiv werden. Da ermöglichten Schwachstellen in deren Firmware das Einschleusen von Schadcode.

(dmk)