首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Lenovo Notebook BIOS多個安全漏洞

發布時間 2022-04-20

0x00 漏洞概述

2022年4月19日,Lenovo(聯想)發布安全公告,修復了3個影響上百款聯想筆記本電腦型號的 UEFI 固件漏洞。

 

0x01 漏洞詳情

這3個漏洞都存在于Lenovo Notebook BIOS中。其中CVE-2021-3971和CVE-2021-3972影響了 UEFI 固件驅動程序,CVE-2021-3970允許對 SMRAM 進行任意讀/寫,這可能導致使用 SMM 權限執行惡意代碼。詳情如下:

CVE-2021-3970:SMM 任意讀/寫

在某些聯想筆記本型號中,由于驗證不足,LenovoVariable SMI處理程序存在安全問題,可在具有本地訪問權限(和提升到更高權限)的情況下執行任意代碼。

CVE-2021-3971:禁用 SPI 閃存保護

在某些聯想筆記本設備上,存在安全問題的舊的UEFI 固件驅動程序被錯誤地包含在生產 BIOS 映像中而沒有被正確停用。這些受影響的固件驅動程序可以被激活,以在系統運行時從特權用戶模式進程直接禁用 SPI 閃存保護(BIOS 控制寄存器位和受保護范圍寄存器)。

CVE-2021-3972:禁用 UEFI 安全啟動

在某些聯想筆記本設備上,存在安全問題的舊的UEFI 固件驅動程序被錯誤地包含在生產 BIOS 映像中而沒有被正確停用。這些受影響的固件驅動程序可以被激活,以在系統運行時從特權用戶模式進程直接禁用UEFI 安全引導功能。

 

影響范圍

IdeaPad、Legion、Flex 和 Yoga等上百款型號

 

0x02 處置建議

目前聯想已經發布BIOS 更新,用戶可以更新。

具體型號及其BIOS 更新可參考聯想官方公告:

https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook

 

0x03 參考鏈接

https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

https://www.bleepingcomputer.com/news/security/lenovo-uefi-firmware-driver-bugs-affect-over-100-laptop-models/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2022-04-20

首次發布

 

0x05 附錄

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設有分支機構,擁有覆蓋全國的渠道體系和技術支持中心,并在北京、上海、成都、廣州、長沙、杭州等多地設有研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇