Muitos Dell, Dispositivos HP e Lenovo usam versões antigas e inseguras do OpenSSL, como Binarly avisa.
Deixe-me lembrá-lo de que também escrevemos isso OpenSSL Corrige a primeira vulnerabilidade crítica desde então 2016, e também isso Patches OpenSSL lançados e vulnerabilidade crítica acaba não sendo tão crítica.
O problema reside no Kit de Desenvolvimento EFI II (EDK II) ambiente de código aberto, já que o EDK II vem com seu próprio pacote criptográfico, CryptoPkg, qual, por sua vez, depende do OpenSSL. Como resultado, segundo os pesquisadores, o firmware associado ao corporativo Lenovo Os dispositivos Thinkpad usam três versões diferentes de OpenSSL ao mesmo tempo (0.9.8zb, 1.0.0a e 1.0.2j), o mais novo deles foi lançado em 2018.
Além disso, um dos módulos de firmware (InfineonTpmUpdateDxe) depende do OpenSSL versão 0.9.8zb, lançado em agosto 4, 2014.
Além das versões OpenSSL listadas, alguns Lenovo e Dell firmware também usa uma versão ainda mais antiga (0.9.8eu) que foi lançado em novembro 5, 2009. O HP o código do firmware também usou uma versão do OpenSSL com 10 anos de idade (0.9.8c).
| Fabricante | Versão OpenSSL | Data de lançamento |
| Lenovo, Dell | 0.9.8eu | novembro 05, 2009 |
| Lenovo, Dell, HP | 0.9.8c | abril 24, 2012 |
| HP Lenovo | 0.9.8zb | Agosto 06, 2014 |
| Lenovo | 0.9.8zd | Janeiro 08, 2015 |
| Lenovo | 0.9.8ela | Janeiro 15, 2015 |
| Lenovo | 0.9.8zf | Marchar 19, 2015 |
| Lenovo | 1.0.0a | Junho 01, 2010 |
| Lenovo | 1.0.2d | Julho 09, 2015 |
| Lenovo | 1.0.2f | Janeiro 28, 2016 |
| Lenovo, Dell | 1.0.2g | Marchar 01, 2016 |
| Lenovo | 1.0.2h | Poderia 03, 2016 |
| Lenovo, Dell, HP | 1.0.2j | Setembro 26, 2016 |
| Lenovo, Dell | 1.0.2k | Janeiro 26, 2017 |
| Lenovo, Dell, HP | 1.0.2você | dezembro 20, 2019 |
| Lenovo | 1.1.0b | Setembro 26, 2016 |
| Lenovo | 1.1.0g | novembro 02, 2017 |
| Lenovo, Dell | 1.1.0h | Marchar 27, 2018 |
| Lenovo, Dell | 1.1.0j | novembro 20, 2018 |
| Lenovo | 1.1.1d | Setembro 10, 2019 |
| Lenovo, Dell | 1.1.1eu | Agosto 24, 2021 |
| Dell | 1.1.0e | Fevereiro 16, 2017 |
| Dell | 1.1.1n | Marchar 15, 2022 |
Binarmente O relatório destaca que o problema descoberto ilustra claramente uma situação em que as dependências de terceiros complicam significativamente o ecossistema da cadeia de abastecimento, como neste caso.
