Yangi UEFI mikrodasturining zaifliklari bir nechta Lenovo noutbuklari modellariga ta’sir qiladi
Seshanba kuni maishiy elektronika ishlab chiqaruvchi Lenovo 70 dan ortiq mahsulot modellariga ta’sir qiluvchi UEFI mikrodasturidagi uchta xavfsizlik kamchiligini bartaraf etish uchun yamoqlarni chiqardi.
“Zaifliklardan platformani ishga tushirish jarayonining boshida o‘zboshimchalik bilan kodni ishga tushirish uchun foydalanish mumkin, bu esa tajovuzkorlarga OT ijro oqimini o‘g‘irlash va ba’zi muhim xavfsizlik funksiyalarini o‘chirib qo‘yish imkonini berishi mumkin”, — dedi Slovakiya kiberxavfsizlik kompaniyasi ESET bir qator tvitlarida.
CVE-2022-1890, CVE-2022-1891 va CVE-2022-1892 sifatida kuzatilgan uchta xatoning barchasi Lenovo zaif tizimlarda imtiyozlarning kuchayishiga olib keladigan buferning to’lib ketishiga olib keladigan zaifliklarni o’z ichiga oladi. ESET xodimi Martin Smolar xatolar haqida xabar berdi.
Xatolar uch xil drayverda, ReadyBootDxe, SystemLoadDefaultDxe va SystemBootManagerDxeda «DataSize» nomli NVRAM o’zgaruvchisi etarli darajada tekshirilmaganligi sababli yuzaga keladi, bu kodni bajarish uchun ishlatilishi mumkin bo’lgan bufer to’lib ketishiga olib keladi.
Yil boshidan beri Lenovo ikkinchi marta UEFI xavfsizlik zaifliklarini bartaraf etish choralarini ko’rmoqda. Aprel oyida kompaniya Smolar tomonidan aniqlangan uchta zaiflikni (CVE-2021-3970, CVE-2021-3971 va CVE-2021-3972) tuzatdi, ular proshivka implantlarini joylashtirish va amalga oshirish uchun ishlatilishi mumkin edi.
Ta’sir qilingan qurilmalar foydalanuvchilariga potentsial tahdidlarni kamaytirish uchun o’zlarining dasturiy ta’minotini so’nggi versiyaga yangilash tavsiya etiladi.
Biz bilan ko’proq yangiliklarni kuzatib boring!
Fikr bildirish
Sharhlash uchun siz saytga kirishingiz lozim.