✔Lenovo обновила BIOS, исправив баги в сотнях устройств - «Новости»

16 сентября 2022 627 Преимущества стилей / Новости / Ссылки / Вёрстка 0

Использование найденных багов может привести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определенных обстоятельствах, даже к выполнению произвольного кода.

В своем бюллетене безопасности Lenovo перечисляет следующие проблемы:

CVE-2021-28216: неподвижный указатель в TianoCore EDK II BIOS (эталонная имплементация UEFI) позволяет злоумышленнику повышать привилегии и выполнять произвольный код;

CVE-2022-40134: утечка информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику читать память SMM;

CVE-2022-40135: утечка информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику читать память SMM;

CVE-2022-40136: утечка информации в обработчике SMI, который используется для настройки параметров платформы через WMI, позволяющая злоумышленнику читать память SMM;

CVE-2022-40137: переполнение буфера в обработчике WMI SMI, позволяющее злоумышленнику выполнить произвольный код;

Без CVE: улучшение безопасности American Megatrends.

Lenovo сообщает, что проблемы уже исправлены в последних обновлениях BIOS для многих затронутых продуктов. Большинство вышедших патчей доступны с июля и августа 2022 года, а дополнительные исправления ожидаются к концу сентября и октября. Также небольшое количество устройств получат обновления только в следующем году.

Полный список уязвимых устройств, версий BIOS, а также ссылки на уже выпущенные патчи можно найти здесь.

Компания Lenovo сообщила о нескольких серьезных уязвимостях в BIOS, которые затрагивают сотни устройств различных моделей (декстопы, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem). Использование найденных багов может привести к раскрытию информации, повышению привилегий, отказу в обслуживании и, при определенных обстоятельствах, даже к выполнению произвольного кода. В своем бюллетене безопасности Lenovo перечисляет следующие проблемы: CVE-2021-28216: неподвижный указатель в TianoCore EDK II BIOS (эталонная имплементация UEFI) позволяет злоумышленнику повышать привилегии и выполнять произвольный код; CVE-2022-40134: утечка информации в обработчике SMI Set Bios Password SMI, позволяющая злоумышленнику читать память SMM; CVE-2022-40135: утечка информации в обработчике SMI Smart USB Protection, позволяющая злоумышленнику читать память SMM; CVE-2022-40136: утечка информации в обработчике SMI, который используется для настройки параметров платформы через WMI, позволяющая злоумышленнику читать память SMM; CVE-2022-40137: переполнение буфера в обработчике WMI SMI, позволяющее злоумышленнику выполнить произвольный код; Без CVE: улучшение безопасности American Megatrends. Lenovo сообщает, что проблемы уже исправлены в последних обновлениях BIOS для многих затронутых продуктов. Большинство вышедших патчей доступны с июля и августа 2022 года, а дополнительные исправления ожидаются к концу сентября и октября. Также небольшое количество устройств получат обновления только в следующем году. Полный список уязвимых устройств, версий BIOS, а также ссылки на уже выпущенные патчи можно найти здесь.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.