Lenovo’dan Kritik UEFI Açıkları Uyarısı
Son dönemde, Lenovo, bazı tümleşik masaüstü bilgisayarlarında yüksek öneme sahip BIOS açıkları bulunduğunu duyurdu. Bu açıklar, kullanıcıların Secure Boot sistemini geçmesine olanak tanıyabilir. Özellikle, Insyde UEFI firmware’ini kullanan modellerde ciddi güvenlik riskleri söz konusu.
Etkilenen Modeller
Açıklamada, etkilenen cihazlar arasında IdeaCentre AIO 3 24ARR9 ve 27ARR9 ile birlikte Yoga AIO 27IAH10, 32ILL10 ve 32IRH8 modelleri yer alıyor. Bu modeller, kullanıcıların güncel güvenlik önlemlerini almaları gerektiğinin bir göstergesi.
UEFI Nedir?
UEFI, geleneksel PC BIOS‘unun modern bir alternatifi olarak tanımlanabilir. Donanım ile işletim sistemi arasında bir bağlantı noktası görevi görür ve erken başlatma ile boot işlemlerini kontrol eder. UEFI, bilgisayarın güvenliğini artırmak ve boot sürecini daha etkili hale getirmek için tasarlanmıştır.
Açığın Etkileri
Binarly tarafından keşfedilen bu açıklar, daha önceki araştırmalarla benzer özellikler göstermektedir. Bu açıklar, yerel hücum yapanların Sistem Yönetim Modu (SMM) içinde rastgele kodlar çalıştırmasına olanak tanıyarak, belirli donanım modellerine zarar verebilir. SMM, işletim sistemi ve hypervisor’dan bağımsız çalışmakta ve yüksek ayrıcalıklara sahip bir işlem modudur. Bu durum, saldırganlara OS düzeyindeki güvenlik önlemlerini aşma fırsatı sunar.
İnsydeH2O ve Özelleştirilmiş UEFI Firmware
InsydeH2O, OEM dizüstü bilgisayarları ve masaüstü bilgisayarları için en yaygın dağıtılan ticari UEFI BIOS çerçevelerinden biridir. Lenovo, InsydeH2O UEFI firmware görüntülerinde yaptığı özelleştirmelerin bu açılara yol açtığını bildirdi. Ancak bu açıkların sadece belirli sistemleri etkilediği vurgulanmakta.
Açıkların Detayları
Açıkların teknik ayrıntıları ise şu şekildedir:
CVE-2025-4421: Bir SMI handler’ındaki hata, saldırganın doğrulanmamış bir RSI kaydı kullanarak SMRAM adresine yazmasına izin veriyor. Bu durum, SMM ayrıcalık yükselmesine ve kalıcı firmware tehdidine yol açabilir (CVSS puanı: 8.2).
CVE-2025-4422: Bir başka SMI handler’ındaki hata, SMM belleğinin bozulmasına ve ayrıcalık yükselmesine sebep olabiliyor (CVSS puanı: 8.2).
CVE-2025-4423: Arbitrary bellek yazımına yol açan bir SMI handler hatası, SMM ayrıcalık yükselmesine ve kod yürütülmesine neden olabiliyor (CVSS puanı: 8.2).
CVE-2025-4424: Giriş doğrulama hatası, firmware ayarlarının manipülasyonu ile sonuçlanabilir (CVSS puanı: 6).
CVE-2025-4425: Stack buffer overflow hatası, SMM ayrıcalık yükselmesine ve rastgele kod yürütülmesine sebep olabilir (CVSS puanı: 8.2).
CVE-2025-4426: Bir SMI handler hatası, SMRAM içeriğinin sızmasına yol açarak hassas bilgilerin açığa çıkmasına neden olabilir (CVSS puanı: 6).
Bildirim Süreci
Binarly, bu açıkları 8 Nisan 2025 tarihinde Lenovo’ya bildirmiştir ve Lenovo, durumu 16 Haziran 2025’te onaylamıştır. Koordine edilen bu duyuru, 90 günlük açıklama süresinin sona ermesinin ardından yayımlanmıştır.
Güncellemeler
Lenovo, IdeaCentre AIO 3 modelleri için güvenlik güncellemeleri yayımladı ve kullanıcıların O6BKT1AA sürümüne terfi etmelerini önerdi. Ancak, Yoga AIO güncellemeleri şu an için mevcut değildir ve şirket, bu güncellemeleri 30 Eylül – 30 Kasım 2025 tarihleri arasında çıkarmayı planlamaktadır.
Sonuç
Bu açıklar, kullanıcılara yönelik ciddi bir tehdit oluşturmakta ve güncellemelerin bir an önce yapılmasını zorunlu kılmaktadır. Lenovo ve InsydeH2O üzerindeki bu tür açıkların sürekliliği, yazılım tedarik zincirinin karmaşıklığının bir sonucudur. Kullanıcıların dikkatli olması ve güncellemeleri takip etmesi, olası hücumlar karşısında bir nebze de olsa korunmalarına yardımcı olacaktır. Açıkların kapanması ve sistemlerin güncellenmesi, teknoloji dünyasında güvenliğin sağlanması adına kritik bir adımdır.
