据BleepingComputer网站7月13日消息,联想生产的70多款笔记本电脑受到三个UEFI固件缓冲区溢出漏洞的影响。攻击者劫持Windows系统并执行任意代码。据悉,这三个漏洞是由安全软件公司ESET的分析师发现,并已报告给联想。根据联想披露,三个中危漏洞分别为CVE-2022-1890、CVE-2022-1891、CVE-2022-1892。第一个是联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim中使用的SystemLoadDefaultDxe驱动的缓冲区溢出漏洞、S145、S540和S940等70多个电脑型号。据ESET分析师称,这些漏洞是由于对传递给UEFI运行时服务函数GetVariable的DataSize参数验证不充分造成的。攻击者可以创建一个特制的NVRAM变量,该变量会在第二次GetVariable调用中导致数据缓冲区溢出。.触发利用CVE-2022-1892的变体通常,利用UEFI固件漏洞的攻击非常危险,足以让攻击者在操作系统启动时运行恶意软件,甚至在Windows内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护,逃避检测,甚至在磁盘格式化后仍然存在。对于一些经验丰富的攻击者来说,这些漏洞可以被利用来执行任意代码,并对设备系统造成不可预知的影响。为解决此风险,我们建议受影响设备的用户从官方网站下载适用于其产品的最新驱动程序版本。参考来源:https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/
