Binarlyは3月8日(米国時間)、「Binarly Discovers 16 New, High-Impact Vulnerabilities in Firmware Affecting HP Enterprise Devices」において、HPのノートパソコンやデスクトップパソコン、エッジコンピューティングノード、POSシステムなどのUEFIファームウェアに新たに16件の重要な脆弱性を発見したと伝えた。

この脆弱性はUEFIファームウェアの実装上の問題であり、OSアップデートでは修正できないという。UEFI Secure Boot、Intel Boot Guard、仮想化ベースといったセキュリティ機能も回避するとされており注意が必要。

HPはこの問題に関する次のセキュリティアップデートの提供を開始している。

  • HP UEFI Firmware February 2022 Security Updates|HP® Customer Support

    HP UEFI Firmware February 2022 Security Updates | HP® Customer Support

脆弱性の深刻度はCVSSv3スコアで「重要」と評価されている。オペレーティングシステムやエンドポイントセキュリティソリューション、UEFI Secure Boot、Intel Boot Guard、仮想化ベースのセキュリティ隔離などをバイパスすることができ、持続的に悪質なコードを配信可能な可能性が指摘されている。

HPのパソコンやデバイスを使用している場合、上記のセキュリティアドバイザリの内容を確認するとともに、該当する場合にはアップデートを適用することが望まれる。