Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL

Екатерина Быстрова 28 Ноября 2022 - 08:54
...
Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL

Анализ прошивки устройств от Dell, HP и Lenovo выявил наличие устаревших версий криптографической библиотеки OpenSSL. Это создает дополнительные риски для цепочки поставок.

EFI Dev Kit II (EDK II), как известно, идет в комплекте с собственным криптографическим пакетом CryptoPkg, использующим службы проекта OpenSSL. Специалисты компании Binarly изучили прошивку устройств Lenovo Thinkpad и пришли к выводу, что в них фигурируют три разные версии OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последняя из которых была выпущена в 2018 году.

Более того, один из функционирующих модулей — InfineonTpmUpdateDxe — связан с OpenSSL версии 0.9.8zb, релиз которой состоялся 4 августа 2014 года.

«Модуль InfineonTpmUpdateDxe отвечает за обновление прошивки Trusted Platform Module (TPM) на чипе Infineon», — пишет Binarly в отчете.

 

«Такая ситуация ярко отражает проблему цепочки поставок со сторонними зависимостями. Как правило, такие зависимости не получают патчей даже для критических уязвимостей».

К слову, некоторые прошивки Lenovo и Dell задействуют ещё более старую версию — 0.9.8l, которая вышла 5 ноября 2009 года. У HP наблюдается практически такая же история: используется версия библиотеки под номером 0.9.8w, которой десять лет.

Исследователи из Binarly также выделили уязвимые места в Software Bill of Materials (SBOM), возникшие в результате интеграции скомпилированных модулей в прошивке.

В начала ноября мы сообщали, что разработчики OpenSSL устранили распиаренные уязвимости, но всё оказалось не так страшно, как эксперты предполагали изначально.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

K2 и Positive Technologies запустили бесплатный сервис оценки киберзащиты
Екатерина Быстрова 18 Ноября 2025 - 09:32
Корпорации Системы для анализа защищенности информационных системАудит информационной безопасности K2ТехPositive Technologies
K2 и Positive Technologies запустили бесплатный сервис оценки киберзащиты

K2 Cloud, K2 Кибербезопасность и Positive Technologies представили бесплатный онлайн-сервис, который позволяет за 10 минут оценить уровень защищённости ИТ-инфраструктуры компании и получить рекомендации по его усилению.

Инструмент создан на основе методологии Positive Technologies и экспертизы специалистов K2.

По словам Евгения Багрова, руководителя направления облачных сервисов кибербезопасности в K2 Кибербезопасность, число атак за последний год не только выросло, но и стало сложнее по технике исполнения, при этом всё больше атак направлены на конкретные организации.

Компании увеличивают бюджеты на кибербезопасность, но при этом сталкиваются с нехваткой кадров и ограниченностью ресурсов — поэтому им трудно самостоятельно выстроить полноценную стратегию защиты.

Как работает сервис

Оценка проводится по 11 ключевым направлениям:

  • структура ИБ-подразделения,
  • политики безопасности,
  • обучение сотрудников,
  • используемые средства защиты,
  • мониторинг и реагирование,
  • и другие параметры.

По итогам тестирования организация получает общий уровень киберустойчивости и список практических рекомендаций по его повышению. При необходимости можно запросить подробный аналитический отчёт и консультацию специалистов.

Почему такой сервис стал актуален

«По данным наших исследований, в 2025 году обеспечение кибербезопасности является одной из ключевых болей для 38% российских компаний. Почти половина (49%) ИТ- и ИБ-руководителей отмечают значительное повышение интереса к информационной безопасности со стороны генеральных директоров за последние два года. Новый инструмент позволит быстро обосновать инвестиции в информационную безопасность, сфокусировавшись на наиболее критичных для бизнеса направлениях, а также снизить операционные риски, связанные с простоем и утечкой данных», — отметила Анжелика Захарова, руководитель практики кибербезопасности K2 Cloud.

Проект поддержали информационные партнёры, среди которых Tadviser, Cyber Media, CISOCLUB, Anti-Malware.ru и Comnews.

Реклама АО: «К2 интеграция» ИНН 7701829110, 18+
ERID: 2VfnxyPMSyF

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Геотрекинг детских симок в России будет доступен родителям без решения суда
Новость
Геотрекинг детских симок в России будет доступен родителям б...
Поддельные TLS-сертификаты для 1.1.1.1 поставили под удар Windows и Edge
Новость
Поддельные TLS-сертификаты для 1.1.1.1 поставили под удар Wi...
В Москве впервые будут судить за массовую скупку симок для мошенников
Новость
В Москве впервые будут судить за массовую скупку симок для м...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.