HP'nin Destek Yazılımında Güvenlik Açığı
Siber güvenlik araştırmacısı Bill Demirkapi, HP'nin Support Assistant yazılımında kritik güvenlik açıkları keşfetti.
HP'nin bilgisayarlar veya yazıcılar için güncelleştirmeler ve teknik destek sağlamak amacıyla kullanıcılarına sunduğu Support Assistant yazılımında kritik güvenlik açıkları keşfedildi.
Siber güvenlik araştırmacısı Bill Demirkapi, HP Support Assistant yazılımında 5 yerel ayrıcalık yükseltme açığı, 2 rastgele dosya silme açığı ve 3 uzaktan kod yürütme açığı olmak üzere toplam 10 güvenlik açığı keşfetti.
Araştırmacının Ekim 2019'da HP'ye açıkları bildirmesinin ardından yetkililer, Aralık 2019'da açıkları giderdikleri güvenlik güncelleştirmesini yayınladı ancak açıkların tümü bu güncelleştirmede giderilemedi.
Daha sonra Demirkapi, yamalanmamış bir hatanın düzeltilmesi için Ocak 2020'de HP ile iletişime geçti ve Mart 2020'de tekrardan bir güncelleme yayınlandı.
Araştırmacı, bu güncellemenin ardından HP Support Assistant'ta bulunan 3 yerel ayrıcalık yükseltme açığının hâlâ giderilmediğini söyledi.
Demirkapi, "Yazılımın en son sürümüne sahip olsanız bile HP'nin, üç yerel ayrıcalık yükseltme güvenlik açığını yamalamaması nedeniyle, yazılımı makinenizden tamamen kaldırmazsanız hâlâ savunmasız olduğunuzu unutmayın" dedi.
Araştırmacı, kullanıcıların bahsi geçen tüm güvenlik açıklarından etkilenmemeleri için ilk ve en iyi seçeneğin HP Support Assistant yazılımının kaldırılması olduğunu belirtti ve ekledi: "Bir sonraki en iyi seçenek, yazılımı en son sürüme güncellemektir. En son güncelleştirme, üç yerel ayrıcalık yükseltme açığı dışında birkaç güvenlik açığını giderir."
Yorumlar