聯想筆電再爆UEFI韌體漏洞，70餘機種受影響

圖片來源: 

Daniel Joshua on unsplash

繼今年4月之後，聯想筆電再爆有3項UEFI韌體漏洞，可讓攻擊者在受害者電腦上執行任意程式碼，並影響ThinkBook等70餘機型。聯想已於本周釋出修補程式。

，包含3個存在特定款Lenovo筆電UEFI韌體的緩衝溢位（buffer overflow）漏洞，一旦被開採，可能讓攻擊者在平臺開機早期階段執行任意程式碼，而讓它劫持OS執行流程，關閉某些重要的安全功能。

這三項漏洞編號為CVE-2022-1890、CVE-2022-1891及CVE-2022-1892，分別存在於Lenovo產品UEFI韌體上的ReadyBootDxe、SystemLoadDefaultDxe和 SystemBootManagerDxe驅動程式，可讓具有本地權限的攻擊者升級其權限，以便在系統上執行任意程式碼。根據聯想的安全公告，3漏洞屬於中度風險漏洞。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。

ESET解釋，這批漏洞出在3個驅動程式對UEFI Runtime Service的GetVariable的呼叫中、1個名為DataSize的參數驗證不足，使攻擊者可設計惡意NVRAM（非揮發性隨機存取記憶體，Non-volatile random-access memory）變項，藉由發送2次GetVariable呼叫，藉此造成Data緩衝區的溢位。

研究人員表示，這屬於典型的「double GetVariable」漏洞，也曾在IDA外掛的韌體程式碼中發生，。ESET也在後者的程式碼資料庫加入對這3項漏洞的更新程式碼。

，列出了受影響的產品，。三項漏洞中以CVE-2022-1892影響最多機種。相關驅動程式可透過下載。

這也是聯想筆電今年以來第2次傳出有UEFI韌體漏洞。，也是由ESET揭露3項可導致植入及執行惡意程式碼的漏洞，影響上百款產品。

來源鏈接：https://www.ithome.com.tw/news/151936

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。