hp-support-head-portlet

Acciones
Cargando...
Soporte al cliente de HP: base de conocimientos

hp-contact-secondary-navigation-portlet

Acciones
Cargando...

hp-share-print-widget-portlet

Acciones
Cargando...
  • Información

    Arregle y solucione problemas de actualización de Windows 10 en una Computadora o Impresora HP. Haga clic aquí

    Información
    Más información sobre cómo actualizar a Windows 11

    Guía de actualización a Windows 11

    Información

    ¿Problemas de audio o sonido? ¡Pruebe nuestro automatizado HP Audio check!

  • Comentarios

hp-concentra-wrapper-portlet

Acciones
Cargando...

Actualizaciones de seguridad del firmware UEFI de HP de febrero de 2022

Se han identificado posibles vulnerabilidades en el firmware UEFI (BIOS) de algunos productos de PC que pueden permitir la escalada de privilegios y la ejecución de código arbitrario. HP está lanzando actualizaciones de firmware para mitigar estas posibles vulnerabilidades.

Gravedad

Alta

Referencia de HP

HPSBHF03765 Rev. 5

Fecha de lanzamiento

2 de febrero de 2022

Última actualización

24 de junio de 2022

Categoría

Equipo

Posibles riesgos para la seguridad

Escalada de privilegios, ejecución de código arbitrario

Lista de vulnerabilidades y exposiciones comunes (CVE) relevantes

Informado por: Equipo BINARLY efiXplorer

Lista de ID de CVE

ID de CVE

Puntuación básica

Vector básico

ID del proveedor

CVE-2021-39298

8.8

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39297

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39299

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39300

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

CVE-2021-39301

7.5

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

HP

Más información sobre las métricas básicas de CVSS 3.1, que van de 0 a 10.

PSR: PSR-2021-0112

Antecedentes

  • El 4 de febrero de 2022, BINARLY publicó cinco (5) vulnerabilidades del firmware UEFI de HP para una presentación en la Offensive Security Conference Berlin 2022 (OffensiveCon Berlin 2022). Estas vulnerabilidades se publicaron como avisos BRLY-2021-003, BRLY-2021-004, BRLY-2021-005, BRLY-2021-006 y BRLY-2021-007 en la página web de Avisos de BINARLY (en inglés).

    El 4 de febrero de 2022, HP publicó este boletín de seguridad para las cinco vulnerabilidades enumeradas anteriormente como parte de una divulgación coordinada con BINARLY para la presentación de DefensiveCon.

  • El 8 de marzo de 2022, BINARLY publicó once (11) vulnerabilidades adicionales en el firmware UEFI de HP en su página web de Avisos (en inglés). Estas vulnerabilidades se publican como avisos BRLY-2021-032, BRLY-2021-033, BRLY-2021-034, BRLY-2021-035, BRLY-2021-036, BRLY-2021-037, BRLY-2021-038, BRLY-2021-039, BRLY-2021-040, BRLY-2021-041 y BRLY-2021-042.

    El 8 de marzo de 2022, HP publicó el boletín de seguridad Actualización de seguridad del BIOS de PC de HP de febrero de 2022 para 11 vulnerabilidades para las 11 vulnerabilidades adicionales.

  • Además, el 8 de marzo, BINARLY publicó un blog en el que se indican los avisos combinados (los 5 de este boletín y los 11 nuevos avisos) en un solo informe de 16 vulnerabilidades de alto impacto detectadas en dispositivos HP (en inglés).

    HP está abordando las dieciséis (16) vulnerabilidades identificadas en el informe de blog de BINARLY del 8 de marzo de 2022 entre este boletín de seguridad y el boletín de seguridad más reciente Actualización de seguridad del BIOS de PC de HP de febrero de 2022 para 11 vulnerabilidades, publicado el 8 de marzo.

  • El 11 de mayo de 2022, BINARLY presentó nuevas vulnerabilidades en el firmware de HP UEFI en una presentación en Black Hat® Asia 2022. Estas vulnerabilidades se publicaron como avisos BRLY-2021-050, BRLY-2021-051, BRLY-2021-053 en la página web de Avisos de BINARLY (en inglés).

    En este boletín de seguridad se cubre BRLY-2021-053, mitigado por las actualizaciones de CVE-2021-39299 y CVE-2021-39300.

    BRLY-2021-050 y BRLY-2021-051 están cubiertos por CVE-2022-23954 y CVE-2022-23955 (respectivamente) en el boletín de seguridad de HP Actualización de seguridad del BIOS de PC de HP de febrero de 2022.

Queremos agradecer a BINARLY por informar de forma independiente sobre estos temas.

Nota:

Es posible que la mitigación de estas cinco vulnerabilidades ya esté disponible para los productos identificados en este boletín de seguridad. Cuando estén disponibles, las versiones de actualización del BIOS identificadas en el boletín de seguridad más reciente Actualización de seguridad del BIOS de PC de HP de febrero de 2022 para 11 vulnerabilidades contendrán mitigación acumulativa para las dieciséis vulnerabilidades y reemplazarán las versiones identificadas en este boletín de seguridad.

Resolución

HP ha identificado las plataformas afectadas y los SoftPaqs correspondientes con las versiones mínimas que mitigan las potenciales vulnerabilidades. Vea las plataformas afectadas a continuación.

Es posible que haya nuevas versiones disponibles y que las versiones mínimas indicadas a continuación estén obsoletas. Si un enlace de SoftPaq no es válido, consulte el sitio Soporte al cliente de HP - Descargas de software y controladores para obtener la actualización más reciente para su modelo de producto.

HP recomienda mantener su sistema actualizado con el firmware y software más recientes.

Nota:

Este boletín puede ser actualizado cuando se disponga de nueva información y/o SoftPaqs. Inscríbase en las suscripciones de HP para ser notificado y recibir:

  • Avisos electrónicos de soporte para productos

  • Actualizaciones del controlador

  • Actualizaciones de boletines de seguridad

Paquetes de software y productos afectados

Encuentre los paquetes de software que resuelven las vulnerabilidades de su sistema.

Estado del paquete de software

Se proporciona un estado si no se incluye en la lista un SoftPaq para un producto en particular.

  • Pendiente: El paquete de software se está ejecutando.

  • Bajo investigación: Sistema bajo investigación por impacto o paquete de software bajo investigación por viabilidad/disponibilidad.

  • No disponible: El paquete de software no está disponible debido a restricciones de carácter técnico o logístico.

  • Consulte la página de soporte: El paquete de software se ha eliminado del sitio de descarga. Los paquetes de software con versiones más recientes están disponibles en el sitio Soporte al cliente de HP - Descargas de software y controladores.