超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号
2022-7-14 08:11:44 Author: 雾晓安全(查看原文) 阅读量:10 收藏

    昨天联想推出了最新的漏洞修复程序,其中该设备UEFI固件中的三个缓冲区溢出漏洞,影响了包括多款ThinkBook在内的70多种不同型号。
    根据安全研究人员表示:这些漏洞可被利用在平台启动的早期阶段实现任意代码执行,可能允许攻击者劫持操作系统执行流程并禁用一些重要的安全功能。 攻击者可以通过创建非易失性随机存取存储器 (NVRAM) 变量并导致数据缓冲区的缓冲区溢出来利用这些漏洞。当给程序提供太多数据时会发生缓冲区溢出,这些漏洞会导致受影响系统的权限提升。其中漏洞编号为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892 的严重性等级为“中等”。
    这些错误源于对三个不同驱动程序ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe中名为“DataSize”的NVRAM变量的验证不充分,导致缓冲区溢出,可以武器化以实现代码执行。
    这是自年初以来联想第二次着手解决UEFI安全漏洞。4月,该公司解决了 三个漏洞(CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972),这些漏洞可能被滥用来部署和执行固件植入。
    Lenovo强烈建议受影响设备的用户将其固件更新到最新版本,以减轻潜在威胁安装更新的详细说明和受影响型号的完整列表包含在联想的咨询中,以减轻潜在威胁。

往期文章:


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247492989&idx=1&sn=639e848f7edd36b868116046776f7526&chksm=ce682afbf91fa3edacfd3c6c03cb260c1d29dcc8b80b7cd340fd0d35fbf34a1d030bd00d0dac#rd
如有侵权请联系:admin#unsafe.sh