freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

联想超70款笔记本电脑被曝新型UEFI固件漏洞
2022-07-14 10:13:26
所属地 上海

据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。

据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示,这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起,攻击者可以创建一个特制的 NVRAM 变量,导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

触发利用 CVE-2022-1892 的变量

总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。

为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

参考来源:https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者