此前，惠普高階膝上型電腦曝光了多個韌體安全漏洞，在公開披露數月後，目前惠普公司仍然沒有對漏洞進行修復。

在2022年8月的 Black Hat USA 會議上，安全研究人員首次披露了惠普韌體漏洞的細節，並表示由於受信任的平臺模組 （TPM） 測量的限制，韌體完整性監控系統無法檢測到這些漏洞。

根據中國網路安全行業門戶極牛網（GeekNB。com）的梳理，韌體漏洞的影響非常嚴重且深遠，因為韌體漏洞一旦被利用，攻擊者就可以在裝置上實現長期持久化，從可以在重新啟動後倖免於難並逃避傳統的作業系統級安全保護。

安全研究人員發現的高危漏洞主要影響惠普 EliteBook 裝置，並涉及韌體的系統管理模式 （SMM） 中的記憶體損壞情況，從而能夠以最高許可權執行任意程式碼：

CVE-2022-23930

（CVSS 評分：8。2）- 基於堆疊的緩衝區溢位；

CVE-2022-31640

（CVSS 評分：7。5）- 輸入驗證不正確；

CVE-2022-31641

（CVSS 評分：7。5）- 輸入驗證不正確；

CVE-2022-31644

（CVSS 評分：7。5）- 越界寫入；

CVE-2022-31645

（CVSS 評分：8。2）- 越界寫入；

CVE-2022-31646

（CVSS 評分：8。2）- 越界寫入；

其中3個漏洞（CVE-2022-23930、CVE-2022-31640 和 CVE-2022-31641）已於 2021 年 7 月通知惠普公司，其餘3個漏洞（CVE-2022-31644、CVE-2022-31645、和 CVE-2022-31646）則是於 2022 年 4 月報告給惠普公司。

SMM系統管理模式，也稱為 Ring-2，是韌體（即UEFI）使用的一種專用模式，用於處理系統範圍的功能，例如電源管理、硬體中斷或其他專有原始裝置製造商 （OEM） 設計的程式碼。

因此，SMM 元件中發現的漏洞可以作為一個非常有效的攻擊媒介，讓攻擊者以比作業系統更高的許可權執行惡意程式碼。

由於韌體供應鏈的複雜性，製造端存在難以彌補的差距，因為它涉及裝置供應商無法控制的問題。