吳明宜聯想(Lenovo)本周針對UEFI韌體中的3項可讓駭客執行任意程式碼的安全漏洞發佈修補程式,影響70多個機種,包括數款ThinkBook。
聯想 (Lenovo) 本周針對 UEFI 韌體中的 3 項可讓駭客執行任意程式碼的安全漏洞發佈修補程式,影響 70 多個機種,包括數款 ThinkBook 。
首先揭露漏洞的安全廠商 ESET 指出,這 3 項漏洞可讓遠端攻擊者在未修補機器上觸發,以執行任意程式碼,而且由於時間點在開機早期,因而能躲過安全產品的偵測。
這 3 項漏洞皆為緩衝溢位漏洞,分別為 CVE-2022-1890 、 CVE-2022-1891 和 CVE-2022-1892 。其中 CVE-2022-1890 存在某些聯想筆電產品的 ReadyBootDxe 驅動程式中,可允許升高駭客的本地權限,以執行任意程式碼。 CVE-2022-1891 發生在 SystemLoadDefaultDxe 驅動程式。 CVE-2022-1892 則是在 SystemBootManagerDxe 驅動程式中。
漏洞起源是 UEFI Runtime Services 對呼叫的 DataSize 參數驗證不足,讓它得以傳送到 Runtime Services 的 GetVariable 函式中。攻擊者可設立惡意 NVRAM 變項,在第 2 次 GetVariable 呼叫時觸發記憶體緩衝溢位。結果是讓攻擊者劫持 OS 執行流 (execution flow),關閉重要的安全功能。聯想將漏洞風險值列為中等。
受影響的產品包括 Yoga 、 Legion 、 Ideapad 、 ThinkBook 等 70 多款機種。
ESET 研究人員建議受影響的聯想筆電用戶儘速更新到最新版本韌體,下載網頁如下:https://support.lenovo.com/。