Lenovo выпустила обновления BIOS для устранения уязвимостей в системе безопасности.
Китайский производитель компьютеров Lenovo выпустил обновления безопасности. Устранен ряд серьезных уязвимостей BIOS, затрагивающих сотни устройств различных линеек Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem. Уязвимости могут вести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определенных обстоятельствах, к выполнению произвольного кода.
Уязвимости:
Больше статей и видео в нашем Дзен-канале
- CVE-2021-28216: исправлена уязвимость указателя в TianoCore EDK II BIOS (эталонная реализация UEFI), позволяющая злоумышленнику повышать привилегии и выполнять произвольный код.
- CVE-2022-40134: Утечка информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику читать память SMM.
- CVE-2022-40135: Уязвимость утечки информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику считывать память SMM.
- CVE-2022-40136: Утечка информации в обработчике SMI, используемом для настройки параметров платформы через WMI, что позволяет злоумышленнику считывать память SMM.
- CVE-2022-40137: переполнение буфера в обработчике WMI SMI, позволяющее злоумышленнику выполнить произвольный код.
- Улучшения безопасности American Megatrends (без CVE).
SMM (Ring-2) — часть микропрограммы UEFI, обеспечивающая общесистемные функции, такие как низкоуровневое управление аппаратным обеспечением и управление питанием.
Доступ к SMM может быть распространен на операционную систему, оперативную память и ресурсы хранения. Поэтому и AMD, и Intel разработали механизмы изоляции SMM для защиты пользовательских данных от угроз низкого уровня. Lenovo исправила проблемы в последних обновлениях BIOS для затронутых продуктов. Большинство исправлений, выпущенных на данный момент, доступны с момента выпуска в июле и августе 2022 года. Дополнительные исправления ожидаются к концу сентября и октябрю, а некоторое модели получит обновления в следующем году.
Владельцы компьютеров Lenovo могут перейти на портал компании «Драйверы и программное обеспечение». Затем найти там свой продукт по названию, выбрать обновление вручную и загрузить последнюю доступную версию микропрограммы BIOS.
