Lenovo, tehdit aktörlerinin masaüstü bilgisayarlardan geniş bir ürün yelpazesinde her türlü yıkıcı siber saldırıyı potansiyel olarak başlatmasına olanak tanıyan bir dizi önemli BIOS kusurunu düzeltti. (yeni sekmede açılır)dizüstü bilgisayarlara.
Bu haftanın başlarında yayınlanan bir güvenlik tavsiyesinde şirket, Desktop, Hepsi Bir Arada, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation ve ThinkSystem serisinden yüzlerce cihazının toplam altı farklı cihaza karşı savunmasız olduğunu söyledi. güvenlik açıkları.
Bu kusurlar, hassas verileri çalmak, ayrıcalıkları yükseltmek, hizmet reddi saldırıları başlatmak ve aşırı durumlarda rastgele kod yürütülmesine izin vermek için tehdit aktörleri tarafından kötüye kullanılabilir.
Veri sızıntısı, rastgele kod yürütme riski
Lenovo’nun düzelttiği kusurlar arasında CVE-2021-28216 (TianoCore EDK II BIOS’ta işaretçi kusuru – ayrıcalık yükselmesine ve rastgele kod yürütülmesine izin verir), CVE-2022-40134 (SMI Set Bios Password SMI İşleyicisinde bilgi sızıntısı kusuru – izin verir) bulunur. SMM bellek okuma), CVE-2022-40135 (Smart USB Protection SMI İşleyicisindeki bilgi sızıntısı güvenlik açığı, SMM bellek okumasına izin verir), CVE-2022-40136 (WMI üzerinden platform ayarlarını yapılandırmak için kullanılan SMI İşleyicideki bilgi sızıntısı kusuru, SMM bellek okuma için), CVE-2022-40137 (WMI SMI İşleyicisinde arabellek taşması, rastgele kod yürütülmesine izin verir), Amerikan Megatrends güvenlik geliştirmeleri (CVE yok).
Bu kusurlar için düzeltme, yukarıda belirtilen cihazlar için en son BIOS güncellemesinin bir parçası olarak gelir ve şirket, tüm sistem yöneticilerine bunları hemen uygulamalarını tavsiye eder.
Daha fazla yamalar (yeni sekmede açılır) Bu ayın sonundan önce ve Ekim ayında piyasaya sürülmesi bekleniyor ve önümüzdeki yılın başlarında güncellemelerini alacak kısa bir model listesi var.
Uç noktalarını düzeltmek isteyenler (yeni sekmede açılır) Lenovo’nun “Sürücüler ve Yazılım” portalına gitmeli, cihazlarını ada göre aramalı ve “Manuel Güncelleme”yi seçmelidir. Bu, daha sonra manuel olarak yükleyebilecekleri en son BIOS üretici yazılımı sürümünü indirecektir.
Etkilenen cihazların tam listesini şu adreste bulabilirsiniz: bu bağlantı (yeni sekmede açılır).
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
