ESET發現百款Lenovo(聯想)筆記型電腦內含UEFI漏洞

下一個故事

ESET 研究人員發現Lenovo(聯想)筆記型電腦的韌體存在3項UEFI漏洞,這三個漏洞是於去年(2021)由研究人員發現,並於該年 10 月通報給原廠;含有這三個漏洞的筆記型電腦款式甚多,包括 Lenovo IdeaPad 3、Legion 5 Pro-16ACH6 H Yoga Slim 9-14IYL05 等系列,全球使用者人數可能多達數百萬人。

三個漏洞中,有兩個(CVE-2021-3971 和 CVE-2021-3972)漏洞,可讓駭侵者關閉針對 SPI 快閃記憶體的機制,而 SPI 快閃記憶體係用以儲存 UEFI 韌體程式碼;這樣駭侵者即可在電腦啟動(boot)期間執行非由原始製造廠(Original Equipment Manufacturer, OEM)提供簽署的程式碼。

另一個漏洞 CVE-2021-3970 則可讓本地端的駭侵者,利用此漏洞提升執行權限,並且於本土端執行任意程式碼。

Lenovo(聯想)已提供新版韌體,修復上述三個漏洞外,也在官網提供所有含有上述漏洞的筆記型電腦型號清單;ESET資訊安全專家建議所有使用 Lenovo 品牌筆記型電腦的用戶,應立即核對自己使用的產品是否列名於清單內,同時立即升級至最新版本韌體,以免遭駭侵者利用這三種已知漏洞發動攻擊。


ESET資安產品具備【UEFI掃描功能】,協助保護您電腦設備之安全。
>>我要購買:https://eshop.eset.hk/


原文出處:https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/