Производитель бытовой электроники Lenovo во вторник выпустил исправления, устраняющие три недостатка безопасности в своей прошивке UEFI, затрагивающие более 70 моделей продуктов.
«Уязвимости могут быть использованы для выполнения произвольного кода на ранних этапах загрузки платформы, что может позволить злоумышленникам перехватить поток выполнения ОС и отключить некоторые важные функции безопасности», — говорится в серии твитов словацкой компании по кибербезопасности ESET.
Все три ошибки, отслеживаемые как CVE-2022-1890, CVE-2022-1891 и CVE-2022-1892, связаны с уязвимостями переполнения буфера , которые, по описанию Lenovo, приводят к повышению привилегий в уязвимых системах. Мартин Смолар из ESET сообщил об ошибках.
Ошибки возникают из-за недостаточной проверки переменной NVRAM с именем «DataSize» в трех разных драйверах ReadyBootDxe, SystemLoadDefaultDxe и SystemBootManagerDxe, что приводит к переполнению буфера, которое можно использовать для выполнения кода.
Это второй раз, когда Lenovo предпринимает шаги по устранению уязвимостей безопасности UEFI с начала года. В апреле компания устранила три уязвимости (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972), также обнаруженные Смоларом, которые могли быть использованы для развертывания и выполнения имплантов прошивки.
Пользователям затронутых устройств настоятельно рекомендуется обновить прошивку до последней версии, чтобы уменьшить потенциальные угрозы.
Следите за остальными новостями вместе с нами!
