【漏洞通告】Lenovo Notebook BIOS 11月多个安全漏洞
发布时间 2022-11-100x00 漏洞概述
11月8日,Lenovo(联想)发布Lenovo Notebook BIOS更新,修复了影响其多种笔记本电脑型号的多个安全漏洞,可以通过利用这些漏洞来禁用UEFI 安全启动。
0x01 漏洞详情
Lenovo是一家全球知名的ICT科技企业,也是全球智能设备的领导厂商之一。
Lenovo本次更新修复了ThinkBook、IdeaPad 和 Yoga 等多种笔记本电脑型号中的2个漏洞,Ideapad Y700-14ISK设备中的漏洞(CVE-2022-3432)尚未修复。
UEFI安全启动是一种验证系统,可确保在计算机启动过程中不会加载和执行恶意代码,成功利用这些漏洞的恶意用户可以更改操作系统的安全启动设置,详情如下:
CVE-ID | 影响 | 说明 |
CVE-2022-3430 | 禁用安全启动 | 某些联想笔记本设备上的WMI设置驱动程序存在漏洞,可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。 |
CVE-2022-3431 | 禁用安全启动 | 某些联想笔记本设备的制造过程中使用的驱动程序存在漏洞,该驱动程序未被正确停用,被错误地包含在生产中,可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。 |
CVE-2022-3432 | 禁用安全启动 | Ideapad Y700-14ISK设备的制造过程中使用的驱动程序存在漏洞,该驱动程序未被正确停用,被错误地包含在生产中,可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。 |
影响范围
ThinkBook、IdeaPad、Yoga等多种系列/型号
注:具体受影响产品型号及其BIOS固件版本信息请参考Lenovo官方公告列表:
https://support.lenovo.com/us/en/product_security/LEN-94952
0x02 安全建议
目前Lenovo已经针对CVE-2022-3430 和 CVE-2022-3431发布了受影响设备的BIOS更新,Lenovo用户可参考官方公告将系统固件更新到相应修复版本(或更高版本)。
对于CVE-2022-3432,由于Ideapad Y700-14ISK已到达生命周期,Lenovo将不再支持维护,受影响用户应当注意防范。
下载链接:
https://pcsupport.lenovo.com/us/en/
0x03 参考链接
https://support.lenovo.com/us/en/product_security/LEN-94952
https://www.bleepingcomputer.com/news/security/lenovo-fixes-flaws-that-can-be-used-to-disable-uefi-secure-boot/
0x04 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2022-11-10 | 首次发布 |
0x05 附录
公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工6000余人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号