Společnost Lenovo vydala opravu firmware pro více než 70 modelů svých notebooků. Jejich UEFI totiž obsahuje tři závažné bezpečnostní chyby, které umožňují úspěšnému útočníkovi spustit vlastní kód už v úvodních fázích startu počítače. Tímto postupem je pak možné cíleně ovlivnit start operačního systému nebo vypnout některé bezpečnostní mechanismy.
Chyby nesou označení CVE-2022–1890, CVE-2022–1891 a CVE-2022–1892 všechny jsou způsobeny přetečením vyrovnávací paměti a za jejich objevením stojí Martin Smolár ze společnosti Eset. Problémem je nedostatečná validace proměnné DataSize v NVRAM, kterou chybně zpracovávají ovladače ReadyBootDxe, SystemLoadDefaultDxe a SystemBootManagerDxe. Jejich prostřednictvím pak může dojít ke spuštění útočníkova kódu.
Už letos v dubnu Martin Smolár objevil tři jiné bezpečnostní mezery v UEFI pro počítače Lenovo a také to vyústilo ve vydání záplatované verze. I v tomto případě je samozřejmě uživatelům doporučováno co nejdříve aktualizovat na nejnovější verzi firmware.
#ESETresearch discovered and reported to the manufacturer three buffer overflow vulnerabilities in UEFI firmware of several #Lenovo Notebook devices, affecting more than 70 various models including several ThinkBook models. @smolar_m 1/6
— ESET research (@ESETresearch) July 13, 2022
ČLÁNKY DO MAILU