HP corrige 16 bogues du firmware UEFI permettant des attaques malveillantes discrètes
HP a publié des mises à jour de sécurité pour 16 vulnérabilités de firmware UEFI (Unified Extensible Firmware Interface) à fort potentiel qui pourraient permettre aux acteurs de la menace d'infecter des appareils avec des logiciels malveillants qui obtiennent des privilèges élevés et restent indétectables par les logiciels de sécurité installés.
Ces vulnérabilités affectent plusieurs modèles HP, notamment des ordinateurs portables, des ordinateurs de bureau, des systèmes PoS et des nœuds informatiques périphériques.
Ces failles sont séparées en trois catégories selon le composant/la fonctionnalité exploité(e) :
- CVE-2021-39298 (score CVSS : 7.5), CVE-2021-23932 et CVE-2021-23933 (score CVSS : 8.2) : Appel de la fonction SMM qui conduit à une escalade de privilèges.
- CVE-2021-(de 23924 à 23931) et CVE-2021-23934 (score CVSS : 8.2) : Vulnérabilités dans le module de gestion du système « SSM », qui peuvent permettre l’exécution de code arbitraire à cause d’un débordement de tampon de tas (heap buffer overflow) ou une corruption de mémoire.
- Les quatre derniers bogues affectent le composant Driver eXecution Environment ‘DXE’, suivis sous les noms de CVE-2021-39297, CVE-2021-39301 (score CVSS : 7.7), CVE-2021-39299 et CVE-2021-39300 (score CVSS : 8.2), ces failles permettent l’exécution de code arbitraire dû à un débordement de tampon de pile.
Il est fortement recommandé que les correctifs soient installés sur les systèmes affectés afin d’atténuer toute menace possible.