【漏洞通告】Lenovo Notebook BIOS多个安全漏洞

admin 2022年4月20日12:58:15评论131 views字数 1477阅读4分55秒阅读模式

0x00 漏洞概述

2022年4月19日,Lenovo(联想)发布安全公告,修复了3个影响上百款联想笔记本电脑型号的 UEFI 固件漏洞。

 

0x01 漏洞详情

这3个漏洞都存在于Lenovo Notebook BIOS中。其中CVE-2021-3971和CVE-2021-3972影响了 UEFI 固件驱动程序,CVE-2021-3970允许对 SMRAM 进行任意读/写,这可能导致使用 SMM 权限执行恶意代码。详情如下:

CVE-2021-3970:SMM 任意读/写

在某些联想笔记本型号中,由于验证不足,LenovoVariable SMI处理程序存在安全问题,可在具有本地访问权限(和提升到更高权限)的情况下执行任意代码。

CVE-2021-3971:禁用 SPI 闪存保护

在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用 SPI 闪存保护(BIOS 控制寄存器位和受保护范围寄存器)。

CVE-2021-3972:禁用 UEFI 安全启动

在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用UEFI 安全引导功能。

 

影响范围

IdeaPad、Legion、Flex 和 Yoga等上百款型号

 

0x02 处置建议

目前联想已经发布BIOS 更新,用户可以更新。

具体型号及其BIOS 更新可参考联想官方公告:

https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook

 

0x03 参考链接

https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/ 

 

0x04 更新版本

版本

日期

修改内容

V1.0

2022-04-20

首次发布

 

0x05 附录

公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
 
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:

【漏洞通告】Lenovo Notebook BIOS多个安全漏洞


原文始发于微信公众号(维他命安全):【漏洞通告】Lenovo Notebook BIOS多个安全漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日12:58:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Lenovo Notebook BIOS多个安全漏洞http://cn-sec.com/archives/929395.html

发表评论

匿名网友 填写信息