编辑：左右里

4月18日，联想发布了一份安全公告，公布了影响其100多种笔记本电脑型号的三个统一可扩展固件接口（UEFI）安全漏洞，这些漏洞使攻击者能够在受影响的设备上部署和执行固件植入。成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动，继而能够安装持久性恶意软件。

这三个漏洞由ESET研究人员Martin Smolár于2021年10月11日向联想报告，已分配编号为CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。联想已于2022年4月12日发布了相关补丁。

联想在其公告中描述的三个漏洞的摘要如下：

CVE-2021-3970 由于某些联想笔记本型号中的验证不足，LenovoVariable SMI Handler中存在一个潜在漏洞，使得具有本地访问权限和提升权限的攻击者有可能执行任意代码。

CVE-2021-3971 在某些联想笔记本设备上的旧制造过程中使用的驱动程序被错误地包含在 BIOS 映像中，使其可能存在一个潜在漏洞，导致具有提升权限的攻击者能够通过修改 NVRAM 变量来修改固件保护区。

CVE-2021-3972 在某些联想笔记本设备上，在制造过程中使用的驱动程序存在一个潜在漏洞被错误地未停用，因此具有提升权限的攻击者有可能通过修改 NVRAM 变量来修改安全启动设置。

“UEFI威胁可能非常隐蔽和危险，它们在启动过程的早期执行，然后将控制权转移到操作系统，这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。”报告漏洞的ESET研究人员Martin Smolár如此说道。

联想已发布了漏洞涉及的笔记本电脑型号的完整列表，受影响的用户应尽快按照官方说明更新系统固件版本。

联想公告：

https://support.lenovo.com/us/en/product_security/LEN-73440

ESET研究报告：

https://www.welivesecurity.com/2022/04/19/when-secure-isnt-secure-uefi-vulnerabilities-lenovo-consumer-laptops/

资讯来源：联想官网、ESET

转载请注明出处和本文链接

每日涨知识

零信任

零信任并不是不信任，而是作为一种新的身份认证和访问授权理念，不再以网络边界来划定可信或者不可信，而是默认不相信任何人、网络以及设备，采取动态认证和授权的方式，把访问者所带来的网络安全风险降到最低。

推荐文章++++

* Beanstalk DeFi平台遭攻击损失1.82亿美元

* GitHub封禁俄罗斯开发人员账户

* FBI认为史上最大加密货币盗窃案是朝鲜黑客所为

* 美国加密货币专家因协助朝鲜规避美国制裁而获刑五年

* 欧洲刑警组织关闭世界最大黑客论坛之一RaidForums

* 索尼和乐高向Epic Games投资20亿美元以协助开拓元宇宙

* 损害美国超10亿美元的黑客组织乌克兰籍成员被捕

﹀

﹀

﹀