Muchos Dell, Los dispositivos HP y Lenovo utilizan versiones antiguas e inseguras de OpenSSL, como advierte Binarly.
Déjame recordarte que también escribimos eso. AbiertoSSL Corrige la primera vulnerabilidad crítica desde 2016, y también eso Se lanzaron parches de OpenSSL y la vulnerabilidad crítica resultó no ser tan crítica.
El problema radica en el Kit de desarrollo EFI II (EDKII) entorno de código abierto, ya que EDK II viene con su propio paquete criptográfico, CriptoPkg, cual, a su vez, se basa en OpenSSL. Como resultado, según los investigadores, el firmware asociado con la empresa lenovo Los dispositivos Thinkpad utilizan tres versiones diferentes de OpenSSL a la vez (0.9.8zb, 1.0.0a y 1.0.2j), el más nuevo de los cuales fue lanzado en 2018.
Además, uno de los módulos de firmware (InfineonTpmUpdateDxe) depende de OpenSSL versión 0.9.8zb, lanzado en agosto 4, 2014.
Además de las versiones de OpenSSL enumeradas, algunos Lenovo y Dell El firmware también utiliza una versión aún más antigua. (0.9.8yo) que fue lanzado en noviembre 5, 2009. El caballos de fuerza El código de firmware también utilizó una versión de OpenSSL de hace 10 años. (0.9.8w).
| Fabricante | Versión OpenSSL | Fecha de lanzamiento |
| lenovo, Dell | 0.9.8yo | Noviembre 05, 2009 |
| lenovo, Dell, caballos de fuerza | 0.9.8w | Abril 24, 2012 |
| HP | 0.9.8zb | Agosto 06, 2014 |
| lenovo | 0.9.8zd | Enero 08, 2015 |
| lenovo | 0.9.8ella | Enero 15, 2015 |
| lenovo | 0.9.8zf | Marzo 19, 2015 |
| lenovo | 1.0.0a | Junio 01, 2010 |
| lenovo | 1.0.2d | Julio 09, 2015 |
| lenovo | 1.0.2F | Enero 28, 2016 |
| lenovo, Dell | 1.0.2gramo | Marzo 01, 2016 |
| lenovo | 1.0.2h | Puede 03, 2016 |
| lenovo, Dell, caballos de fuerza | 1.0.2j | Septiembre 26, 2016 |
| lenovo, Dell | 1.0.2k | Enero 26, 2017 |
| lenovo, Dell, caballos de fuerza | 1.0.2tu | Diciembre 20, 2019 |
| lenovo | 1.1.0b | Septiembre 26, 2016 |
| lenovo | 1.1.0gramo | Noviembre 02, 2017 |
| lenovo, Dell | 1.1.0h | Marzo 27, 2018 |
| lenovo, Dell | 1.1.0j | Noviembre 20, 2018 |
| lenovo | 1.1.1d | Septiembre 10, 2019 |
| lenovo, Dell | 1.1.1yo | Agosto 24, 2021 |
| Dell | 1.1.0mi | Febrero 16, 2017 |
| Dell | 1.1.1norte | Marzo 15, 2022 |
binario El informe destaca que el problema descubierto ilustra claramente una situación en la que las dependencias de terceros complican significativamente el ecosistema de la cadena de suministro., como en este caso.
