High Tech

Milioni di proprietari di portatili sono minacciati. Nell'enorme numero di PC Lenovo ha rilevato gravi vulnerabilità

Milioni di proprietari di portatili sono minacciati. Nell'enorme numero di PC Lenovo ha rilevato gravi vulnerabilità

Per alcuni modelli, le patch non saranno rilasciate

I ricercatori della società ESET hanno scoperto e analizzato tre vulnerabilità che riguardano vari modelli di laptop Lenovo.

I primi due-CVE-2021-3971, CVE-2021-3972 - influenzano i driver del UEFI integrato, originariamente destinati all'uso solo durante la produzione di laptop del consumatore Lenovo. Sfortunatamente, sono stati erroneamente inclusi nelle immagini industriali BIOS senza disattivazione adeguata.

Un utente malintenzionato può attivare questi driver software integrati per disabilitare direttamente la protezione della memoria flash SPI o la funzione di download UEFI Secure dal processo di modalità utente privilegiata.

La terza vulnerabilità con il numero CVE-2021-3970 consente la lettura / scrittura arbitraria / nella memoria SMRAM, che può portare a un codice dannoso con privilegi SMM e potenzialmente portare alla distribuzione dell'impianto flash SPI.

Il problema è che le vulnerabilità influenzano più di una varietà di modelli di laptop Lenovo. Dato i volumi di vendita dell'azienda, stiamo parlando di milioni di laptop nelle mani degli utenti.

Gli specialisti ESET hanno riportato le vulnerabilità di Lenovo stesso in ottobre. In questo caso, alcuni dei modelli non riceveranno alcuna patch, perché il loro termine di supporto è scaduto. Ad esempio, è IdeaPad 330-15igm e IdeaPad 110-15GR.