联想超70款笔记本电脑被曝新型UEFI固件漏洞

据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。1657764874_62cf7c0a00b4fcd635ae9

据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示,这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起,攻击者可以创建一个特制的 NVRAM 变量,导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

1657764824_62cf7bd8a80bd4c5a6025触发利用 CVE-2022-1892 的变量

总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。

为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

参考来源:https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/

本文作者:Zicheng, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/19658

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年7月13日 上午10:37
下一篇 2022年7月14日 上午10:33

相关推荐