![]()
超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号
2022-7-14 08:11:44
Author: 雾晓安全(查看原文)
阅读量:10
收藏
昨天,联想推出了最新的漏洞修复程序,其中该设备UEFI固件中的三个缓冲区溢出漏洞,影响了包括多款ThinkBook在内的70多种不同型号。 根据安全研究人员表示:这些漏洞可被利用在平台启动的早期阶段实现任意代码执行,可能允许攻击者劫持操作系统执行流程并禁用一些重要的安全功能。 攻击者可以通过创建非易失性随机存取存储器 (NVRAM) 变量并导致数据缓冲区的缓冲区溢出来利用这些漏洞。当给程序提供太多数据时会发生缓冲区溢出,这些漏洞会导致受影响系统的权限提升。其中漏洞编号为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892 的严重性等级为“中等”。 这些错误源于对三个不同驱动程序ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe中名为“DataSize”的NVRAM变量的验证不充分,导致缓冲区溢出,可以武器化以实现代码执行。 这是自年初以来联想第二次着手解决UEFI安全漏洞。4月,该公司解决了 三个漏洞(CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972),这些漏洞可能被滥用来部署和执行固件植入。 Lenovo强烈建议受影响设备的用户将其固件更新到最新版本,以减轻潜在威胁,安装更新的详细说明和受影响型号的完整列表包含在联想的咨询中,以减轻潜在威胁。往期文章:
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDM2MTE5Mw==&mid=2247492989&idx=1&sn=639e848f7edd36b868116046776f7526&chksm=ce682afbf91fa3edacfd3c6c03cb260c1d29dcc8b80b7cd340fd0d35fbf34a1d030bd00d0dac#rd
如有侵权请联系:admin#unsafe.sh