Lenovo выпустила обновление для исправления нескольких серьёзных уязвимостей BIOS, затрагивающих сотни устройств различных моделей: Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem.
Эксплуатация этих уязвимостей может привести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определённых обстоятельствах, к выполнению произвольного кода.
В бюллетене исправлений Lenovo указаны следующие уязвимости:
CVE-2021-28216: исправлена уязвимость указателя в TianoCore EDK II BIOS (эталонная реализация UEFI), позволяющая злоумышленнику повышать привилегии и выполнять произвольный код;
CVE-2022-40134: исправлена уязвимость утечки информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику считывать память SMM;
CVE-2022-40135: исправлена уязвимость утечки информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику считывать память SMM;
CVE-2022-40136: исправлена уязвимость утечки информации в обработчике SMI, используемом для настройки параметров платформы через WMI, что позволяет злоумышленнику считывать память SMM;
CVE-2022-40137: исправлена уязвимость переполнения буфера в обработчике WMI SMI, позволяющая злоумышленнику выполнить произвольный код.
SMM — это часть микропрограммы UEFI, обеспечивающая общесистемные функции, такие как низкоуровневое управление аппаратным обеспечением и управление питанием. UEFI (Unified Extensible Firmware Interface ) — это интерфейс прошивки, использующийся при запуске компьютера для инициализации аппаратных компонентов и запуска операционной системы, которая хранится на жёстком диске.
Доступ к SMM может быть расширен на операционную систему, оперативную память и ресурсы хранения. Именно поэтому и AMD, и Intel разработали механизмы изоляции SMM для защиты пользовательских данных от угроз низкого уровня.
Lenovo исправила проблемы в последних обновлениях BIOS для затронутых продуктов. Большинство исправлений, выпущенных в настоящее время, доступны с момента выпуска в июле и августе 2022 года.
Дополнительные исправления ожидаются к концу сентября и октябрю, а небольшой список моделей получит обновления в следующем году.
Полный список затронутых моделей компьютеров и версий микропрограммы BIOS, устраняющей каждую уязвимость, включён в бюллетень по безопасности со ссылками на портал загрузки для каждой модели.
Кроме того, владельцы компьютеров Lenovo могут перейти на портал «Драйверы и программное обеспечение», найти свой продукт по названию, выбрать «Обновление вручную» и загрузить последнюю доступную версию прошивки BIOS.
В июле стало известно, что более 70 моделей ноутбуков Lenovo подвержены серьёзным уязвимостям прошивки UEFI, связанным с ошибкой переполнения буфера. Проблему обнаружили специалисты по безопасности компании ESET. Они присвоили уязвимостям средний уровень серьёзности.
