联想超70款笔记本电脑被曝新型UEFI固件漏洞

据Bleeping Computer网站7月13日消息，联想由联想生产的超款超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响 ，这些漏洞能让攻击者劫持Windows系统并执行任意代码
。笔记本电

据悉 ，脑被这三个漏洞由安全软件公司ESET的曝新分析师发现
，并已经将其报告给了联想 。联想根据联想的高防服务器超款披露，这三个中等严重级别的笔记本电漏洞分别为CVE-2022-1890 、CVE-2022-1891 和 CVE-2022-1892。脑被其中第一个为联想部分笔记本产品使用的曝新ReadyBootDxe驱动的问题，后两个是联想SystemLoadDefaultDxe驱动的源码下载缓冲区溢出漏洞，该驱动被用于Yoga、超款IdeaPad、笔记本电Flex、脑被ThinkBook 、曝新V14、V15、V130、Slim、免费模板S145 、S540 和 S940 等70多款电脑型号。

ESET的分析师表示
，这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起，攻击者可以创建一个特制的 NVRAM 变量，云计算导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

触发利用 CVE-2022-1892 的变量

总体而言 ，利用UEFI 固件漏洞的攻击非常危险，能让攻击者在操作系统刚启动时运行恶意软件 
，甚至在 Windows 内置安全保护被激活之前
，从而绕过或禁用操作系统级别的源码库安全保护、逃避检测 ，并且即使在磁盘格式化后仍然存在
。对于一些经验丰富的攻击者，能够利用这些漏洞执行任意代码，对设备系统产生难以预估的影响。

为了解决这一风险，亿华云官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本 。

参考来源：https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/