✔Lenovo обновила BIOS, исправив баги в сотнях устройств - «Новости»

Компания Lenovo сообщила о нескольких серьезных уязвимостях в BIOS, которые затрагивают сотни устройств различных моделей (декстопы, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem). Использование найденных багов может привести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определенных обстоятельствах, даже к выполнению произвольного кода. В своем бюллетене безопасности Lenovo перечисляет следующие проблемы: CVE-2021-28216: неподвижный указатель в TianoCore EDK II BIOS (эталонная имплементация UEFI) позволяет злоумышленнику повышать привилегии и выполнять произвольный код; CVE-2022-40134: утечка информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику читать память SMM; CVE-2022-40135: утечка информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику читать память SMM; CVE-2022-40136: утечка информации в обработчике SMI, который используется для настройки параметров платформы через WMI, позволяющая злоумышленнику читать память SMM; CVE-2022-40137: переполнение буфера в обработчике WMI SMI, позволяющее злоумышленнику выполнить произвольный код; Без CVE: улучшение безопасности American Megatrends. Lenovo сообщает, что проблемы уже исправлены в последних обновлениях BIOS для многих затронутых продуктов. Большинство вышедших патчей доступны с июля и августа 2022 года, а дополнительные исправления ожидаются к концу сентября и октября. Также небольшое количество устройств получат обновления только в следующем году. Полный список уязвимых устройств, версий BIOS, а также ссылки на уже выпущенные патчи можно найти здесь.