Lỗ hổng chương trình cơ sở UEFI mới ảnh hưởng đến một số dòng máy tính xách tay Lenovo

Nhà sản xuất thiết bị điện tử gia dụng Lenovo hôm thứ Ba đã tung ra các bản sửa lỗi cho ba lỗi bảo mật trong phần sụn UEFI của họ ảnh hưởng đến hơn 70 dòng sản phẩm.

"Các lỗ hổng có thể bị khai thác để thực thi mã tùy ý trong giai đoạn đầu của quá trình khởi động nền tảng, có thể cho phép những kẻ tấn công chiếm đoạt luồng thực thi hệ điều hành và vô hiệu hóa một số tính năng bảo mật quan trọng", công ty an ninh mạng ESET của Slovakia cho biết trong một loạt các tweet.

Theo dõi là CVE-2022-1890, CVE-2022-1891 và CVE-2022-1892, cả ba lỗi đều liên quan đến lỗ hổng tràn bộ đệm đã được Lenovo mô tả là dẫn đến leo thang đặc quyền trên các hệ thống bị ảnh hưởng. Martin Smolár từ ESET đã được ghi nhận là đã báo cáo các sai sót.

Các lỗi bắt nguồn từ việc xác thực không đủ biến NVRAM có tên "DataSize" trong ba trình điều khiển khác nhau ReadyBootDxe, SystemLoadDefaultDxe và SystemBootManagerDxe, dẫn đến lỗi tràn bộ đệm có thể được vũ khí hóa để thực thi mã.

Đây là lần thứ hai Lenovo tiến hành giải quyết các lỗ hổng bảo mật UEFI kể từ đầu năm. Vào tháng 4, công ty đã giải quyết ba lỗ hổng (CVE-2021-3970, CVE-2021-3971 và CVE-2021-3972) - cũng được phát hiện bởi Smolár - có thể đã bị lạm dụng để triển khai và thực hiện cấy ghép phần sụn.

Người dùng các thiết bị bị ảnh hưởng được khuyến nghị cập nhật chương trình cơ sở của họ lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.

Hương – Theo TheHackerNews