Lenovo исправила уязвимость, затрагивающую десятки моделей ThinkPad — Хакер

#current_issue_box {position:relative;} #current_issue_box small{display:block;font-size:12px;} #current_issue_box .cover{display:block;} #current_issue_box h3{margin:0 0 10px;} #current_issue_box ul{padding:0;margin:10px 0 0;} #current_issue_box li{list-style:none!important;line-height:130%!important} @media all and (min-width:1360px){ #current_issue_box{position:absolute;top:30px;left:-220px;width:220px;text-align:center;} #current_issue_box small{position:absolute;top:-25px;left:0;right:0;} #current_issue_box h3{margin-top:15px;} }@media all and (max-width:1359px){ #current_issue_box{max-width:600px;min-height:163px;border:solid 1px #ddd;border-radius:4px;padding:15px 15px 15px 130px;margin:-30px auto 30px;} #current_issue_box .cover{position:absolute;left:15px;top:15px;width:100px;} }@media all and (max-width:767px){#current_issue_box{display:none;}}

Компания Lenovo опубликовала информацию о трех уязвимостях, которые связаны с работой BIOS на двух моделях настольных ПК и примерно на 60 различных ноутбуках.

Первая проблема, получившая идентификатор CVE-2021-3452, представляет угрозу для десятков моделей ThinkPad. Она связана с функцией обратного вызова SMI при завершении работы системы и может использоваться локальным злоумышленником, который уже имеет повышенные привилегии на устройстве, для выполнения произвольного кода. Обновления BIOS более чем для 30 моделей ThinkPad уже готовятся, и компания планирует начать развертывание патчей 28 июля.

Еще пять моделей ThinkPad не подвержены первой уязвимости, зато могут пострадать от проблемы CVE-2021-3453, которая возникает из-за того, что модули BIOS не защищены Intel Boot Guard, то есть злоумышленник, имеющий физический доступ к уязвимым устройствам, может записывать данные во флэш-память SPI.

Lenovo сообщает, что уже выпустила обновления BIOS для уязвимых ThinkPad, но еще работает над патчами для 13 других моделей ноутбуков. Также этот баг затрагивает две модели настольных компьютеров IdeaCentre, исправления для которых должны выйти 30 сентября.

Третья уязвимость, CVE-2021-3614, затрагивает только ноутбуки Lenovo и позволяет злоумышленнику, который имеет физический доступ к устройству, повысить свои привилегии. Сделать это можно лишь при определенных условиях, во время обновления BIOS, выполняемого посредством Lenovo Vantage.

Эта уязвимость опасна для 21 модели ноутбуков, но исправления пока выпущены лишь для двух из них. Обновление BIOS для еще одной модели должно появиться на этой неделе, однако в Lenovo не сообщают предполагаемую дату выпуска патчей для прочих устройств.

READ  Отчет об исследовании рынка смартфонов 2020-2027 | Samsung, Apple, LG, Lenovo - Таганрог PRESS

Статья в оригинале

Поделиться ссылкой:

Добавить комментарий