Компания Lenovo опубликовала информацию о трех уязвимостях, которые связаны с работой BIOS на двух моделях настольных ПК и примерно на 60 различных ноутбуках.

Первая проблема, получившая идентификатор CVE-2021-3452, представляет угрозу для десятков моделей ThinkPad. Она связана с функцией обратного вызова SMI при завершении работы системы и может использоваться локальным злоумышленником, который уже имеет повышенные привилегии на устройстве, для выполнения произвольного кода. Обновления BIOS более чем для 30 моделей ThinkPad уже готовятся, и компания планирует начать развертывание патчей 28 июля.

Еще пять моделей ThinkPad не подвержены первой уязвимости, зато могут пострадать от проблемы CVE-2021-3453, которая возникает из-за того, что модули BIOS не защищены Intel Boot Guard, то есть злоумышленник, имеющий физический доступ к уязвимым устройствам, может записывать данные во флэш-память SPI.

Lenovo сообщает, что уже выпустила обновления BIOS для уязвимых ThinkPad, но еще работает над патчами для 13 других моделей ноутбуков. Также этот баг затрагивает две модели настольных компьютеров IdeaCentre, исправления для которых должны выйти 30 сентября.

Третья уязвимость, CVE-2021-3614, затрагивает только ноутбуки Lenovo и позволяет злоумышленнику, который имеет физический доступ к устройству, повысить свои привилегии. Сделать это можно лишь при определенных условиях, во время обновления BIOS, выполняемого посредством Lenovo Vantage.

Эта уязвимость опасна для 21 модели ноутбуков, но исправления пока выпущены лишь для двух из них. Обновление BIOS для еще одной модели должно появиться на этой неделе, однако в Lenovo не сообщают предполагаемую дату выпуска патчей для прочих устройств.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии