Lỗ hổng chương trình cơ sở UEFI mới ảnh hưởng đến một số dòng máy tính xách tay Lenovo

www.tuoitre.vn -   13/07/2022 01:00:00 333

Nhà sản xuất thiết bị điện tử gia dụng Lenovo hôm thứ Ba đã tung ra các bản sửa lỗi cho ba lỗi bảo mật trong phần sụn UEFI của họ ảnh hưởng đến hơn 70 dòng sản phẩm.

Lỗ hổng chương trình cơ sở UEFI mới ảnh hưởng đến một số dòng máy tính xách tay Lenovo

"Các lỗ hổng có thể bị khai thác để thực thi mã tùy ý trong giai đoạn đầu của quá trình khởi động nền tảng, có thể cho phép những kẻ tấn công chiếm đoạt luồng thực thi hệ điều hành và vô hiệu hóa một số tính năng bảo mật quan trọng", công ty an ninh mạng ESET của Slovakia cho biết trong một loạt các tweet.

Theo dõi là CVE-2022-1890, CVE-2022-1891 và CVE-2022-1892, cả ba lỗi đều liên quan đến lỗ hổng tràn bộ đệm đã được Lenovo mô tả là dẫn đến leo thang đặc quyền trên các hệ thống bị ảnh hưởng. Martin Smolár từ ESET đã được ghi nhận là đã báo cáo các sai sót.

Các lỗi bắt nguồn từ việc xác thực không đủ biến NVRAM có tên "DataSize" trong ba trình điều khiển khác nhau ReadyBootDxe, SystemLoadDefaultDxe và SystemBootManagerDxe, dẫn đến lỗi tràn bộ đệm có thể được vũ khí hóa để thực thi mã.

Đây là lần thứ hai Lenovo tiến hành giải quyết các lỗ hổng bảo mật UEFI kể từ đầu năm. Vào tháng 4, công ty đã giải quyết ba lỗ hổng (CVE-2021-3970, CVE-2021-3971 và CVE-2021-3972) - cũng được phát hiện bởi Smolár - có thể đã bị lạm dụng để triển khai và thực hiện cấy ghép phần sụn.

Người dùng các thiết bị bị ảnh hưởng được khuyến nghị cập nhật chương trình cơ sở của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ các hoạt động trên thị...

30/09/2022 08:00:00 102
Theo báo cáo Digital Footprint Intelligence (DFI) từ Kaspersky, 95% quảng cáo trong khu vực khu vực ...

Bản cập nhật Windows 11 22H2 gây màn hìn...

30/09/2022 12:00:00 70
Microsoft khuyến nghị người dùng các máy tính bị ảnh hưởng không nên cập nhật Windows 11 22H2 bằng c...

Cảnh báo lỗ hỗng Zeroday trên Microsoft ...

29/09/2022 08:00:00 95
Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy ch...

Phát hiện mã độc đội lốt phần mềm crack ...

29/09/2022 12:00:00 58
Mã độc này cũng cố lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình d...

Lỗi WhatsApp nghiêm trọng có thể cho phé...

28/09/2022 08:00:00 70
WhatsApp đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng trong ứng dụng nhắn tin dành ch...

Chỉ cần di chuột qua PowerPoint cũng có ...

28/09/2022 08:00:00 67
Tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là APT28 đã được phát hiện sử dụng một phương pháp ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ