Tüketici elektroniği üreticisi Lenovo Salı günü, UEFI belleniminde 70’in üzerinde ürün modelini etkileyen üç güvenlik kusuru içeren düzeltmeler yayınladı.
Slovak siber güvenlik firması ESET, “Güvenlik açıklarından platform önyüklemesinin erken aşamalarında rastgele kod yürütülmesini sağlamak için yararlanılabilir, bu da muhtemelen saldırganların işletim sistemi yürütme akışını ele geçirmesine ve bazı önemli güvenlik özelliklerini devre dışı bırakmasına olanak tanır.” söz konusu bir dizi tweette.
CVE-2022-1890, CVE-2022-1891 ve CVE-2022-1892 olarak izlenen üç hatanın tümü arabellek taşması güvenlik açıkları Lenovo tarafından, etkilenen sistemlerde ayrıcalık yükselmesine yol açtığı belirtilenler. ESET’ten Martin Smolár, kusurları bildirme konusunda itibar kazandı.
Hatalar, ReadyBootDxe, SystemLoadDefaultDxe ve SystemBootManagerDxe adlı üç farklı sürücüde “DataSize” adlı bir NVRAM değişkeninin yetersiz doğrulamasından kaynaklanır ve kod yürütmeyi sağlamak için silah haline getirilebilecek bir arabellek taşmasına yol açar.
Bu, Lenovo’nun yılın başından bu yana UEFI güvenlik açıklarını ele almak için ikinci kez geçiş yapmasıdır. Nisan ayında şirket, üretici yazılımı implantlarını dağıtmak ve yürütmek için kötüye kullanılmış olabilecek üç kusuru (CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972) – yine Smolár tarafından keşfedildi – çözdü.
Etkilenen cihazların kullanıcılarının, olası tehditleri azaltmak için donanım yazılımlarını en son sürüme güncellemeleri önemle tavsiye edilir.