Компания Lenovo сообщила о нескольких серьезных уязвимостях в BIOS, которые затрагивают сотни устройств различных моделей (декстопы, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).
Использование найденных багов может привести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определенных обстоятельствах, даже к выполнению произвольного кода.
В своем бюллетене безопасности Lenovo перечисляет следующие проблемы:
- CVE-2021-28216: неподвижный указатель в TianoCore EDK II BIOS (эталонная имплементация UEFI) позволяет злоумышленнику повышать привилегии и выполнять произвольный код;
- CVE-2022-40134: утечка информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику читать память SMM;
- CVE-2022-40135: утечка информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику читать память SMM;
- CVE-2022-40136: утечка информации в обработчике SMI, который используется для настройки параметров платформы через WMI, позволяющая злоумышленнику читать память SMM;
- CVE-2022-40137: переполнение буфера в обработчике WMI SMI, позволяющее злоумышленнику выполнить произвольный код;
- Без CVE: улучшение безопасности American Megatrends.
Lenovo сообщает, что проблемы уже исправлены в последних обновлениях BIOS для многих затронутых продуктов. Большинство вышедших патчей доступны с июля и августа 2022 года, а дополнительные исправления ожидаются к концу сентября и октября. Также небольшое количество устройств получат обновления только в следующем году.
Полный список уязвимых устройств, версий BIOS, а также ссылки на уже выпущенные патчи можно найти здесь.