【漏洞通告】Lenovo BIOS 9月多個安全漏洞

0x00 漏洞概述

9月13日,Lenovo(聯想)發佈BIOS更新,修復了其數百款設備中的多個安全漏洞,這些漏洞可能會導致資訊洩露、許可權提升、拒絕服務,並在某些情況下導致任意程式碼執行。

0x01 漏洞詳情

Lenovo是一家全球知名的ICT科技企業,也是全球智慧設備的領導廠商。

Lenovo本次更新修復了Desktop、All in One、ThinkPad、ThinkAgile、ThinkStation、ThinkServer、ThinkSystem等數百款設備型號中的多個漏洞,詳情如下:

CVE-ID

類型

說明

CVE-2021-28216

程式碼執行

修復了TianoCore EDK II BIOS 中的固定指針漏洞,成功利用此漏洞可能導致任意程式碼執行。

CVE-2022-40137

緩衝區溢出

某些 Lenovo 型號的 WMI SMI 處理程序中存在緩衝區溢出漏洞,成功利用此漏洞可能導致任意程式碼執行。

CVE-2022-40134

資訊洩漏

SMI Set Bios Password SMI 處理程序中存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。

CVE-2022-40135

資訊洩漏

某些Lenovo型號的Smart USB Protection SMI處理程序中存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。

CVE-2022-40136

資訊洩漏

在某些Lenovo型號中,用於通過WMI配置平臺設置的SMI處理程序存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。

Null

安全增強

AMI BIOS 的安全增強。

影響範圍

Desktop、Desktop – All in One、Hyperscale、Lenovo Notebook、Smart Edge、Smart Office、Storage、ThinkAgile、ThinkPad、ThinkServer、ThinkStation、ThinkSystem等多個系列型號。

注:具體受影響產品型號及其BIOS韌體版本資訊請參考Lenovo官方公告列表:

https://support.lenovo.com/us/en/product_security/LEN-94953

0x02 安全建議

目前Lenovo已經發布了受影響設備的BIOS更新,Lenovo使用者可參考官方公告將系統韌體更新到相應修復版本(或更高版本)。

下載連結:

https://pcsupport.lenovo.com/us/en/

0x03 參考連結

https://support.lenovo.com/us/en/product_security/LEN-94953

https://www.bleepingcomputer.com/news/security/new-lenovo-bios-updates-fix-security-bugs-in-hundreds-of-models/

0x04 版本資訊

版本

日期

修改內容

V1.0

2022-09-15

首次發佈

相關文章

「C# 不停止膨脹,必將走向滅亡」

「C# 不停止膨脹,必將走向滅亡」

【CSDN 編者按】程式語言更新的頻率是越快越好,還是越慢越好,不斷增加的功能是否真的就是開發者想要的? 原文連結:https://medi...