HP修補遠端桌面程式Teradici的重大安全漏洞

HP本周修補了Teradici涉及PC over IP（PCoIP）遠端桌面協定的10個安全漏洞，可能波及全球採用PCoIP的逾1,500萬個端點。

Teradici所開發的PCoIP採用先進的顯示壓縮技術，以讓使用者自各種端點裝置自遠端存取就地部署的工作站，或是雲端／本地端的虛擬機器，由於僅傳輸像素形式的顯示訊息，所有原本的商業資訊都只會保留在原地，而以安全性作為號召，並在去年10月被HP併購。

在本周所修補的10個Teradici安全漏洞中，有8個存在於PCoIP本身，另有2個是出現在PCoIP所使用的OpenSSL中。

前者有3個為CVSS風險評分高達9.8的重大漏洞，包括CVE-2022-22822、CVE-2022-22823與CVE-2022-22824，它們都屬於整數溢位漏洞，而根據HP的說明，當計算被應用在資源管理或執行控制時，可能發生的整數溢位便會觸發安全漏洞，允許駭客請求不受控制的資源損耗。

另外2個與OpenSSL有關的安全漏洞，則是OpenSSL在今年3月修補的CVE-2022-0778與CVE-2021-4160，前者可造成無限迴圈而形成服務阻斷攻擊，且被懷疑已遭駭客開採。

此次的修補影響了Windows、macOS及Linux版本的PCoIP Client、PCoIP Client SDK、PCoIP Graphics Agent與PCoIP Standard Agent，雖然HP並未公布波及多少系統，但Teradici官網顯示全球有超過1,500萬個端點部署了PCoIP。