Des millions de propriétaires d'ordinateurs portables sont menacés. Dans le grand nombre de PC Lenovo ont détecté de graves vulnérabilités sérieuses

Pour certains modèles, les correctifs ne seront pas libérés

Les chercheurs de la société ESET ont découvert et analysé trois vulnérabilités affectant divers modèles de portables Lenovo.

Les deux premiers - CVE-2021-3971, CVE-2021-3972 - affectent les pilotes de l'UEFI intégré, destiné à l'origine destiné à être utilisés uniquement lors de la production d'ordinateurs portables à consommation de Lenovo. Malheureusement, ils ont été inclus par erreur dans les images industrielles du BIOS sans une désactivation appropriée.

Un attaquant peut activer ces pilotes logiciels intégrés pour désactiver directement la protection de la mémoire Flash SPI ou la fonction de téléchargement sécurisé UEFI à partir du processus de mode utilisateur privilégié.

La troisième vulnérabilité avec le numéro CVE-2021-3970 permet de lire / écrire arbitraire de / dans la mémoire SMRAM, qui peut conduire à un code malveillant avec des privilèges SMM et de conduire potentiellement au déploiement de l'implant Flash SPI.

Le problème est que les vulnérabilités affectent plus que divers modèles d'ordinateur portable Lenovo. Compte tenu des volumes de vente de la société, nous parlons de millions d'ordinateurs portables dans les mains des utilisateurs.

Les spécialistes ESET ont signalé les vulnérabilités de Lenovo même en octobre. Dans ce cas, certains modèles ne recevront aucun correctif, car leur mandat de soutien est expiré. Par exemple, il s'agit de l'ibeapad 330-15IGM et de l'IDEAPAD 110-15IGR.