导读 联想的支持部门发布了一份公告,概述了影响其笔记本电脑的三个漏洞。所有这些都可能允许攻击者通过一种或另一种方式获得提升的特权。超过 ...
联想的支持部门发布了一份公告,概述了影响其笔记本电脑的三个漏洞。所有这些都可能允许攻击者通过一种或另一种方式获得提升的特权。超过 100 款联想笔记本电脑型号受到 ESET 研究人员首次发现的这些漏洞的影响。值得庆幸的是,联想表示已准备好或正在准备系统固件更新以缓解这些新的安全问题。
联想共享了三个 CVE 标识符代码和描述,列出了如果不打补丁可能造成的恶作剧:
CVE 标识符
描述
CVE-2021-3970
LenovoVariable SMI Handler 中存在一个潜在漏洞,由于在某些 Lenovo 笔记本型号中验证不充分,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。
CVE-2021-3971
一些消费者联想笔记本设备在旧制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地包含在 BIOS 映像中,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。
CVE-2021-3972
某些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
根据 ESET 的安全研究人员的说法,CVE-2021-3970 将允许“任意读取/写入 SMRAM(系统管理模式硬件保护内存),这可能导致恶意代码的执行”,具有很高的特权级别。