Lỗ hổng chương trình cơ sở UEFI mới ảnh hưởng đến một số kiểu máy tính xách tay Lenovo

Các kiểu máy tính xách tay Lenovo

Nhà sản xuất thiết bị điện tử gia dụng Lenovo hôm thứ Ba đã tung ra các bản sửa lỗi cho ba lỗi bảo mật trong UEFI của họ ảnh hưởng đến hơn 70 kiểu sản phẩm.

“Các lỗ hổng có thể bị khai thác để thực thi mã tùy ý trong giai đoạn đầu của quá trình khởi động nền tảng, có thể cho phép những kẻ tấn công chiếm đoạt luồng thực thi hệ điều hành và vô hiệu hóa một số tính năng bảo mật quan trọng”, công ty của Slovakia cho biết trong một loạt các tweet.

Lỗ hổng chương trình cơ sở UEFI

Được theo dõi là CVE-2022-1890, CVE-2022-1891 và CVE-2022-1892, cả ba lỗi đều liên quan đến lỗ hổng tràn bộ đệm đã được Lenovo mô tả là dẫn đến leo thang đặc quyền trên các hệ thống bị ảnh hưởng. Martin Smolár từ ESET đã được ghi nhận là người đã báo cáo các sai sót.

Các lỗi bắt nguồn từ việc xác thực không đủ biến NVRAM có tên “DataSize” trong ba trình điều khiển khác nhau ReadyBootDxe, SystemLoadDefaultDxe và SystemBootManagerDxe, dẫn đến tràn bộ đệm có thể được vũ khí hóa để thực thi mã.

Đây là lần thứ hai Lenovo tiến hành giải quyết các lỗ hổng bảo mật UEFI kể từ đầu năm. Vào tháng 4, công ty đã giải quyết ba lỗ hổng (CVE-2021-3970, CVE-2021-3971 và CVE-2021-3972) – cũng được phát hiện bởi Smolár – có thể đã bị lạm dụng để triển khai và thực hiện cấy ghép phần sụn.

Xem tiếp:   Các nhà nghiên cứu cảnh báo về những kẻ đánh cắp thông tin FFDroider và Lightning nhắm mục tiêu đến người dùng trong tự nhiên

Người dùng các thiết bị bị ảnh hưởng được khuyến nghị cập nhật chương trình cơ sở của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

.

Related Posts

Check Also

Lỗ hổng ÆPIC và SQUIP được tìm thấy trong bộ xử lý Intel và AMD

Một nhóm các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng …