HP 日前發佈 BIOS 更新,修正兩個高危漏洞。這兩個漏洞容許黑客以核心權限來執行任意程式碼,包括安裝惡意驅動程式以至惡意 BIOS ,即使重裝電腦亦無法修補。這漏洞波及超過 200 款 HP 筆記簿電腦、桌面電腦,以至工作站和零售點系統,範圍廣泛。大家應該從速更新。
據 HP 的客戶支援網站指出,他們在 BIOS ( UEFI 靭體)中發現潛在安全漏洞, CVE ID 分別是 CVE-2021-3808 和 CVE-2021-3809 ,同時列出所有受影響的型號,包括 Elite Dragonfly 、 Elite x2 、 EliteBook 和 ProBook 系列,桌面電腦就包括 Elite Slice 、 EliteDesk 、 EliteOne 和 ProDesk 等系列。
據發現這漏洞的安全專家 Nicholas Starke 表示,這漏洞可讓攻擊者以核心等級的權限來執行程式碼,並升級權限至系統管理模式 (SMM) ,這可讓攻擊者獲得控制整部電腦的權限來進行進一步攻擊,覆寫 BIOS ,植入永久性惡意軟件,而這種軟件是無法透過防毒軟件或重裝系統來清除的。
大家可以在官方支援網頁 找尋自己手上電腦型號,並下載相關的 SoftPaq 執行檔來安裝,以修正漏洞,千萬別到不明來歷的地方下載。而直至撰文時,部分型號的修正檔仍在開發中。
