Lenovo выпускает экстренный патч безопасности для сотен моделей
16 сентября 2022 г.Компания Lenovo исправила ряд серьезных ошибок в BIOS, которые позволяют злоумышленникам потенциально проводить всевозможные разрушительные кибератаки на широкий спектр своих продуктов, начиная с настольных ПК и ноутбуков.
В бюллетене по безопасности, опубликованном ранее на этой неделе, компания сообщила, что сотни ее устройств, от Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation и серии ThinkSystem были уязвимы в общей сложности для шести различных уязвимостей.
Эти недостатки могут быть использованы злоумышленниками для кражи конфиденциальных данных, повышения привилегий, запуска атак типа "отказ в обслуживании" и, в крайних случаях, для выполнения произвольного кода.
Утечка данных, риск выполнения произвольного кода
Устраненные уязвимости Lenovo включают CVE-2021-28216 (недостаток указателя в TianoCore EDK II BIOS — позволяет повысить привилегии и выполнение произвольного кода), CVE-2022-40134 (недостаток утечки информации в SMI Set Bios Password SMI Handler). - позволяет читать память SMM), CVE-2022-40135 (уязвимость утечки информации в обработчике SMI Smart USB Protection, позволяет читать память SMM), CVE-2022-40136 (уязвимость утечки информации в обработчике SMI, используемом для настройки параметров платформы через WMI, позволяет читать память SMM), CVE-2022-40137 (переполнение буфера в обработчике WMI SMI, позволяет выполнять произвольный код), улучшения безопасности American Megatrends (без CVE).
> Игровые ноутбуки Lenovo Legion, на которых произошел серьезный сбой BIOS<сильный>
> Эта серьезная ошибка встроенного ПО затрагивает всю партию ноутбуков Lenovo
> Это лучшие мобильные рабочие станции на сегодняшний день< /p>
Исправление этих недостатков входит в состав последнего обновления BIOS для вышеупомянутых устройств, и компания рекомендует всем системным администраторам немедленно установить их.
Ожидается, что до конце этого месяца, а также в октябре, с коротким списком моделей, которые получат свои обновления в начале следующего года.
Тем, кто заинтересован в исправлении своих конечных точек, следует перейти на портал Lenovo «Драйверы и программное обеспечение», найдите их устройства по имени и выберите «Обновление вручную». Будет загружена последняя версия микропрограммы BIOS, которую затем можно будет установить вручную.
Полный список уязвимых устройств можно найти на странице эта ссылка.
- Это лучшие бизнес-ноутбуки прямо сейчас
Через: BleepingComputer
Оригинал