根據The Hacker
News的報道,有三個高影響的統一可擴展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被發現它們會影響聯想的各種設備,如聯想Flex、IdeaPads和Yoga筆記本電腦。
最初,CVE-2021-3971和CVE-2021-3972是為了在聯想消費者筆記本的製造過程中使用。然而,在製作BIOS鏡像時,它們被錯誤地留在其中,而沒有首先停用。攻擊者可以獲得對這些設備的訪問,他們將能夠在操作系統運行期間從特權用戶模式進程中禁用SPI閃存保護或UEFI安全啟動功能。
聯想昨天針對這些漏洞發布了安全補丁,如下所示:
CVE-2021-3970-由於某些聯想筆記本型號的驗證工作不完善,LenovoVariable SMI Handler存在潛在漏洞,可能允許具有本地訪問權限和高權限的攻擊者執行任意代碼。
CVE-2021-3971 – 一些消費型聯想筆記本電腦設備上的舊製造工藝中使用的驅動程序存在潛在漏洞,該驅動程序被錯誤地包含在BIOS鏡像中,可能允許具有高權限的攻擊者通過修改NVRAM變量修改固件保護區域。
CVE-2021-3972 – 在一些消費類聯想筆記本電腦設備的製造過程中使用的驅動程序存在潛在漏洞,該驅動程序被誤認為沒有被停用,可能允許具有高權限的攻擊者通過修改NVRAM變量來修改安全啟動設置。
利用這些安全補丁很重要,以避免在未來受到損害。這些威脅是在操作系統獲得控制權之前,也就是PC啟動過程的早期啟動的。因此,攻擊者將能夠對抗任何基於操作系統內的安全措施。
了解更多:
https://support.lenovo.com/us/en/product_security/LEN-73440