与驱动程序更新不同，BIOS 版本的发布频率通常要低得多——通常是在供应商添加对新 CPU 的支持时，但偶尔也会提高稳定性和性能，或解决安全漏洞。关于后者，惠普正在为超过 200 台笔记本电脑和台式机推出固件更新，以修补一对漏洞，如果利用这些漏洞，攻击者将可以在您的 PC 上做非常糟糕的事情。

这些漏洞被跟踪为 CVE-2021-3808 和 CVE-2021-3809，两者的通用漏洞评分系统版本 3.1 (CVSS 3.1) 的基本评分均为 8.8，其严重性等级为“高”。惠普在其安全公告中几乎没有提供有关实际缺陷的其他信息，但确实列出了广泛的受影响型号。

大多数受影响的型号包括商务笔记本电脑和台式机，包括各种 EliteBook、ProBook 和 ZBook 笔记本电脑，以及一堆多合一台式机(以及这两个类别的其他型号)。然而，这些缺陷也影响了数十台零售销售点 PC、桌面工作站和瘦客户端型号。

用于缓解 CVE-2021-3808 和 CVE-2021-3809 的 BIOS 更新可用于 200 多个系统中的大多数，并在安全公告中链接，但根据我们的统计，仍有 23 个模型未决，包括所有四个受影响的模型瘦客户端 PC 型号。

虽然安全公告没有深入研究技术细节，但发现漏洞的安全研究员 Nicholas Starke 在博客文章中提供了更多信息。

“此漏洞可能允许以内核级权限 (CPL == 0) 执行的攻击者将权限升级到系统管理模式 (SMM)。在 SMM 中执行可让攻击者获得对主机的完全权限，以进一步进行攻击，”Starke 解释说.

他接着描述了攻击者如何利用该漏洞，这是一个系统管理中断处理程序(SMI 处理程序)如何从操作系统内的内核执行上下文中触发的缺陷。