软餐获悉,网络安全厂商 ESET 发现了来自联想笔记本电脑上的三个安全漏洞,据悉,这些漏洞直接影响 100 多款不同型号的联想笔记本电脑,ESET 称,从像 Ideapad-3 这样的廉价机型,到像 Legion 5 Pro-16ACH6 H 或 Yoga Slim 9-14ITL05 等高端机型都会受到影响。
漏洞被标记为 CVE-2021-3971、CVE-2021-3970 和 CVE-2021-3972。联想发布了一份安全公告,披露了上述漏洞,在公告中,联想将漏洞的严重性描述为 “中等”。
Lenovo Notebook BIOS 中报告了以下漏洞。
CVE-2021-3970:LenovoVariable SMI 处理程序中的一个潜在漏洞是由于在某些联想笔记本型号中验证不足,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。
CVE-2021-3971:在一些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞,错误地包含在 BIOS 映像中,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。
CVE-2021-3972:在某些消费者联想笔记本设备的制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。
ESET 早在 2021 年 10 月就向联想报告了上述漏洞,因此部分设备已经获得修复补丁。联想表示:“联想感谢 ESET 提请我们注意一些消费类笔记本电脑制造中使用的驱动程序问题。驱动程序已修复,并且按照 Lenovo 公告中所述进行更新的客户受到保护。联想欢迎与 BIOS 研究人员合作,因为我们增加了对 BIOS 安全性的投资,以确保我们的产品继续达到或超过行业标准。”
微信扫一扫