何百万ものラップトップの所有者が脅かされています。 Lenovo PCの膨大な数で、深刻な脆弱性が検出されました

一部のモデルでは、パッチはリリースされません

ESET会社の研究者は、さまざまなレノボラップトップモデルに影響を与える3つの脆弱性を発見し分析しました。

最初の2つ - CVE-2021-3971、CVE-2021-3972は、ライセオフ消費者のラップトップの製造中にのみ使用を目的とした内蔵UEFIのドライバに影響を与えます。残念ながら、彼らは適切な無効化なしにBIOS産業画像に誤って含まれていました。

攻撃者は、これらの組み込みのソフトウェアドライバをアクティブにして、特権ユーザーモードプロセスからSPIフラッシュメモリ保護またはセキュアUEFIダウンロード機能を直接無効にすることができます。

CVE-2021-3970の数値の3番目の脆弱性により、SMRAMメモリの/内の任意の読み取り/書き込みが可能になり、SMM特権を持つ悪意のあるコードにつながり、SPIフラッシュインプラントの展開につながる可能性があります。

問題は、脆弱性がさまざまなLenovoラップトップモデル以上の影響を与えるということです。会社の販売数量を考えると、私たちはユーザーの手の中に何百万ものラップトップについて話しています。

ESETの専門家は10月にLenovo自体の脆弱性を報告しました。この場合、それらのサポートという用語が期限切れになるため、一部のモデルはパッチを受信しません。たとえば、IDEAPAD 330-15igmとiDeapad 110-15igです。