Служба поддержки клиентов HP - База знаний

hp-contact-secondary-navigation-portlet

Действия
Загрузка...
  • Информация

    Устраните проблемы с компьютерами и принтерами HP, связанные с обновлением Windows 10. Нажмите сюда

    Информация
    Узнайте, как перейти на Windows 11

    Руководство по обновлению Windows 11

  • Оставить отзыв

Обновления системы безопасности для микропрограммы HP UEFI, февраль 2022 г.

В микропрограмме UEFI (BIOS) некоторых ПК были обнаружены потенциальные уязвимости, которые могут допустить несанкционированное повышение привилегий и произвольное выполнение кода. Компания HP выпускает обновления микропрограмм для устранения этих потенциальных уязвимостей.

Степень серьезности

Высокая

Регистрационный номер HP

HPSBHF03765, ред. 5

Дата выпуска

2 февраля 2022 г.

Последнее обновление

24 июня 2022 г.

Категория

ПК

Потенциальное влияние на безопасность

Несанкционированное повышение привилегий, произвольное выполнение кода

Список связанных распространенных уязвимостей (CVE)

По данным команды BINARLY efiXplorer

Список идентификаторов CVE

Идентификатор CVE

Базовый рейтинг

Базовый вектор

Идентификатор поставщика

CVE-2021-39298

8.8

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39297

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39299

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39300

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39301

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

Узнайте подробнее о базовых метриках CVSS 3.1 с диапазоном значений от 0 до 10.

PSR: PSR-2021-0112

Общая информация

  • 4 февраля 2022 г. команда BINARLY опубликовала сведения о пяти (5) уязвимостях в микропрограмме HP UEFI для доклада на конференции Offensive Security Conference Berlin 2022 (OffensiveCon Berlin 2022). Сведения об этих уязвимостях были опубликованы в качестве информационных бюллетеней BRLY-2021-003, BRLY-2021-004, BRLY-2021-005, BRLY-2021-006 и BRLY-2021-007 на веб-странице BINARLY Информационные бюллетени (на английском языке).

    4 февраля 2022 г. компания HP выпустила этот бюллетень по безопасности для пяти вышеуказанных уязвимостей в рамках согласованного с командой BINARLY сообщения для доклада на конференции DefensiveCon.

  • 8 марта 2022 г. команда BINARLY опубликовала на своей веб-странице Информационные бюллетени (на английском языке) сведения об одиннадцати (11) дополнительных уязвимостях, обнаруженных в микропрограмме HP UEFI. Сведения об этих уязвимостях были опубликованы в качестве информационных бюллетеней BRLY-2021-032, BRLY-2021-033, BRLY-2021-034, BRLY-2021-035, BRLY-2021-036, BRLY-2021-037, BRLY-2021-038, BRLY-2021-039, BRLY-2021-040, BRLY-2021-041 и BRLY-2021-042.

    8 марта 2022 г. компания HP выпустила для 11 дополнительных уязвимостей бюллетень по безопасности Обновления BIOS для 11 уязвимостей системы безопасности ПК HP, февраль 2022 г.

  • Кроме того, 8 марта команда BINARLY опубликовала сообщение, объединяющее все информационные бюллетени (5 уязвимостей из этого бюллетеня и 11 новых информационных бюллетеней) в один отчет о 16 серьезных уязвимостях, обнаруженных в устройствах HP (на английском языке).

    Компания HP устраняет все шестнадцать (16) уязвимостей, указанных в отчете BINARLY от 8 марта 2022 г., в этом бюллетене по безопасности и в новом бюллетене по безопасности Обновления BIOS для 11 уязвимостей системы безопасности ПК HP, февраль 2022 г., выпущенном 8 марта.

  • 11 мая 2022 г. компания BINARLY на своей презентации в рамках конференции Black Hat® Asia 2022 указала на новые уязвимости в микропрограмме HP UEFI. Сведения об этих уязвимостях были опубликованы на веб-странице BINARLY в качестве информационных бюллетеней BRLY-2021-050, BRLY-2021-051, BRLY-2021-053 (на английском языке).

    BRLY-2021-053 освещается в этом бюллетене безопасности в контексте обновлений CVE-2021-39299 и CVE-2021-39300.

    BRLY-2021-050 и BRLY-2021-051 освещаются в CVE-2022-23954 и CVE-2022-23955 (соответственно) в бюллетене безопасности HP под названием "Обновление BIOS для системы безопасности ПК HP, февраль 2022 г.".

Благодарим BINARLY за независимое сообщение об этих проблемах.

Прим.:

Средства для устранения этих пяти уязвимостей могут быть уже доступны для устройств, указанных в этом бюллетене безопасности. Когда версии обновлений BIOS, указанные в новом бюллетене по безопасности Обновления BIOS для 11 уязвимостей системы безопасности ПК HP, февраль 2022 г., станут доступны, они будут содержать накопительный набор средств для устранения всех шестнадцати уязвимостей и заменят собой версии, указанные в этом бюллетене по безопасности.

Решение

Компания HP определила затрагиваемые платформы и соответствующие пакеты SoftPaq с минимальными версиями, обеспечивающими устранение потенциальных уязвимостей. Ниже приведены затрагиваемые платформы.

Могут стать доступны более новые версии, а минимальные версии, указанные ниже, могут стать устаревшими. Если ссылка на пакет SoftPaq станет недействительной, перейдите на сайт Служба поддержки клиентов HP – Загрузки ПО и драйверов, чтобы получить последнюю версию обновления для вашей модели устройства.

Компания HP рекомендует поддерживать свою систему в актуальном состоянии с помощью самых новых версий микропрограмм и программного обеспечения.

Прим.:

Этот бюллетень может обновляться по мере доступности новых сведений или пакетов SoftPaq. Подпишитесь на рассылку HP для получения следующих уведомлений:

  • Предупреждения eAlerts о поддержке продуктов

  • Обновления драйверов

  • Обновления бюллетеней безопасности

Пакеты SoftPaq и затрагиваемые продукты

Здесь вы можете найти пакеты SoftPaq, которые позволяют устранить уязвимости в вашей системе.

Статус пакета SoftPaq

Статус указывается, если для определенного устройства не указан ни один пакет SoftPaq.

  • Ожидается: пакет SoftPaq готовится к выпуску.

  • В процессе проверки: исследуется влияние на систему или применимость/доступность пакета SoftPaq.

  • Недоступно: пакет SoftPaq недоступен в связи с техническими или логистическими ограничениями.

  • Проверьте страницу поддержки: указанный пакет SoftPaq был удален с сайта загрузки. Пакеты SoftPaq с более новыми версиями могут быть доступны на сайте Служба поддержки клиентов HP – Загрузки ПО и драйверов.