0x00 漏洞概述
9月13日,Lenovo(聯想)發佈BIOS更新,修復了其數百款設備中的多個安全漏洞,這些漏洞可能會導致資訊洩露、許可權提升、拒絕服務,並在某些情況下導致任意程式碼執行。
0x01 漏洞詳情
Lenovo是一家全球知名的ICT科技企業,也是全球智慧設備的領導廠商。
Lenovo本次更新修復了Desktop、All in One、ThinkPad、ThinkAgile、ThinkStation、ThinkServer、ThinkSystem等數百款設備型號中的多個漏洞,詳情如下:
CVE-ID | 類型 | 說明 |
CVE-2021-28216 | 程式碼執行 | 修復了TianoCore EDK II BIOS 中的固定指針漏洞,成功利用此漏洞可能導致任意程式碼執行。 |
CVE-2022-40137 | 緩衝區溢出 | 某些 Lenovo 型號的 WMI SMI 處理程序中存在緩衝區溢出漏洞,成功利用此漏洞可能導致任意程式碼執行。 |
CVE-2022-40134 | 資訊洩漏 | SMI Set Bios Password SMI 處理程序中存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。 |
CVE-2022-40135 | 資訊洩漏 | 某些Lenovo型號的Smart USB Protection SMI處理程序中存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。 |
CVE-2022-40136 | 資訊洩漏 | 在某些Lenovo型號中,用於通過WMI配置平臺設置的SMI處理程序存在資訊洩漏漏洞,成功利用此漏洞可能導致讀取 SMM 記憶體。 |
Null | 安全增強 | AMI BIOS 的安全增強。 |
影響範圍
Desktop、Desktop – All in One、Hyperscale、Lenovo Notebook、Smart Edge、Smart Office、Storage、ThinkAgile、ThinkPad、ThinkServer、ThinkStation、ThinkSystem等多個系列型號。
注:具體受影響產品型號及其BIOS韌體版本資訊請參考Lenovo官方公告列表:
https://support.lenovo.com/us/en/product_security/LEN-94953
0x02 安全建議
目前Lenovo已經發布了受影響設備的BIOS更新,Lenovo使用者可參考官方公告將系統韌體更新到相應修復版本(或更高版本)。
下載連結:
https://pcsupport.lenovo.com/us/en/
0x03 參考連結
https://support.lenovo.com/us/en/product_security/LEN-94953
https://www.bleepingcomputer.com/news/security/new-lenovo-bios-updates-fix-security-bugs-in-hundreds-of-models/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-09-15 | 首次發佈 |