ESET 發現著名手提電腦品牌內含 UEFI 漏洞

下一個故事

國際資安大廠 ESET 發現 Lenovo(聯想)手提電腦的韌體存在 3 項 UEFI 漏洞,這三個漏洞是於去年(2021)由研究人員發現,並於該年 10 月通報給原廠;含有這三個漏洞的手提電腦款式甚多,包括 Lenovo IdeaPad 3、Legion 5 Pro-16ACH6 H、Yoga Slim 9-14IYL05 等系列,全球使用者人數可能多達數百萬人。

三個漏洞中,有兩個(CVE-2021-3971 和 CVE-2021-3972)漏洞,可讓黑客關閉針對 SPI 快閃記憶體的機制,而 SPI 快閃記憶體係用以儲存 UEFI 韌體程式碼;這樣黑客即可在電腦啟動(boot)期間執行非由原始製造廠(Original Equipment Manufacturer, OEM)提供簽署的程式碼。

另一個漏洞 CVE-2021-3970 則可讓本地端的黑客,利用此漏洞提升執行權限,並且於本土端執行任意程式碼。

Lenovo(聯想)已提供新版韌體,修復上述三個漏洞外,也在官網提供所有含有上述漏洞的手提電腦型號清單;ESET 資安專家建議所有使用 Lenovo 品牌筆記型電腦的用戶,應立即核對自己使用的產品是否列名於清單內,同時立即升級至最新版本韌體,以免遭黑客利用這三種已知漏洞發動攻擊。