缓冲区溢出漏洞 UEFI 固件可能允许攻击者执行任意代码执行 (ACE) 攻击并禁用基本安全功能。
网络安全公司 ESET 的研究人员警告说,超过 70 款联想笔记本设备安装了易受攻击的 UEFI 固件。
UEFI 是统一可扩展固件接口的缩写,用于在加载操作系统之前启动计算机的硬件。
“这些漏洞可被利用在平台启动的早期阶段实现任意代码执行,可能允许攻击者劫持操作系统执行流程并禁用一些重要的安全功能,”ESET 声称。
ThinkBook 13s-IML、ThinkBook 14-IIL 和 ThinkBook 14-IML 等多款联想笔记本电脑都受到这三个漏洞的影响。而其他的,如联想 Yoga 的变体,则受到一两个新发现的漏洞的影响。
攻击者可以通过创建非易失性随机存取存储器 (NVRAM) 变量并导致数据缓冲区的缓冲区溢出来利用这些漏洞。当给程序提供太多数据时会发生缓冲区溢出。
这些漏洞 CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892 的严重性等级为“中等”。根据联想的咨询,固件中的问题可能导致权限提升攻击。
Lenovo 建议更新固件。有关安装更新的详细说明和受影响型号的完整列表包含在联想的咨询中。
除教程外,本网站大部分文章来自互联网,如果有内容冒犯到你,请联系我们删除!
