超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号

admin
admin
admin
142269
文章
117
评论
2022年7月15日02:26:39评论62 views字数 768阅读2分33秒阅读模式
    昨天联想推出了最新的漏洞修复程序,其中该设备UEFI固件中的三个缓冲区溢出漏洞,影响了包括多款ThinkBook在内的70多种不同型号。
    根据安全研究人员表示:这些漏洞可被利用在平台启动的早期阶段实现任意代码执行,可能允许攻击者劫持操作系统执行流程并禁用一些重要的安全功能。 攻击者可以通过创建非易失性随机存取存储器 (NVRAM) 变量并导致数据缓冲区的缓冲区溢出来利用这些漏洞。当给程序提供太多数据时会发生缓冲区溢出,这些漏洞会导致受影响系统的权限提升。其中漏洞编号为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892 的严重性等级为“中等”。
超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号
    这些错误源于对三个不同驱动程序ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe中名为“DataSize”的NVRAM变量的验证不充分,导致缓冲区溢出,可以武器化以实现代码执行。
    这是自年初以来联想第二次着手解决UEFI安全漏洞。4月,该公司解决了 三个漏洞(CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972),这些漏洞可能被滥用来部署和执行固件植入。
    Lenovo强烈建议受影响设备的用户将其固件更新到最新版本,以减轻潜在威胁安装更新的详细说明和受影响型号的完整列表包含在联想的咨询中,以减轻潜在威胁。

往期文章:

原文始发于微信公众号(雾晓安全):超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月15日02:26:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   超过70款UEFI固件ACE漏洞影响多款联想笔记本电脑型号https://cn-sec.com/archives/1176474.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息