放大(来源:联想)
对于拥有 70 多款联想笔记本电脑的用户来说,是时候再次修补 UEFI 固件以防止攻击者可以利用这些漏洞安装几乎无法检测或删除的恶意软件。
这家笔记本电脑制造商周二发布了针对研究人员在 UEFI 固件中发现的三个漏洞的更新,这些漏洞用于启动其许多笔记本电脑型号,包括 Yoga、ThinkBook 和 IdeaPad 系列。该公司为这些漏洞分配了中等严重性等级,这些漏洞被跟踪为 CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892,分别影响 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 驱动程序。
-
[信用:ESET]
安全公司 ESET表示: “可以利用这些漏洞在平台启动的早期阶段实现任意代码执行,可能允许攻击者劫持操作系统执行流程并禁用一些重要的安全功能。” “这些漏洞是由传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不足引起的。攻击者可以创建一个特制的 NVRAM 变量,导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。”