新的UEFI固件漏洞影响了几种联想笔记本电脑型号

消费电子产品制造商联想（Lenovo）周二发布了修复措施，解决了其UEFI固件中的三个安全漏洞，影响了70多种产品型号。

斯洛伐克网络安全公司ESET在一系列推文中表示：“可以利用这些漏洞在平台引导的早期阶段实现任意代码执行，可能使攻击者劫持操作系统执行流并禁用一些重要的安全功能”。

跟踪CVE-2022-1890、CVE-2022-1891和CVE-2022-1892，这三个漏洞都与缓冲区溢出漏洞有关，联想将其描述为导致受影响系统的权限提升。ESET的Martin Smolár报告了这些缺陷。

这些错误源于在三个不同的驱动程序ReadyBootDxe、SystemLoadDefaultDxe和SystemBootManagerDxe中对名为“DataSize”的NVRAM变量的验证不足，导致缓冲区溢出，可以将其武器化以实现代码执行。

这是联想自今年年初以来第二次着手解决UEFI安全漏洞。4月，该公司解决了三个缺陷（CVE-2021-3970、CVE-2021-3971和CVE-2021-3972）&8212，也是由Smolár和8212发现的；这可能被滥用来部署和执行固件植入。

强烈建议受影响设备的用户将其固件更新至最新版本，以缓解潜在威胁。