Çinli bilgisayar üreticisi Lenovo, çeşitli modellerde (Masaüstü, Hepsi Bir Arada, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem) yüzlerce cihazı etkileyen yüksek önem derecesine sahip birkaç BIOS güvenlik açığı konusunda uyarmak için bir güvenlik önerisi yayınladı.
Kusurlardan yararlanmak, bilgilerin ifşa edilmesine, ayrıcalıkların yükseltilmesine, hizmet reddine ve belirli koşullar altında rastgele kod yürütülmesine neden olabilir.
güvenlik açıkları Lenovo’nun güvenlik danışmanlığı şunlar:
- CVE-2021-28216: TianoCore EDK II BIOS’ta (UEFI’nin referans uygulaması) bir saldırganın ayrıcalıkları yükseltmesine ve rastgele kod yürütmesine izin veren sabit işaretçi hatası.
- CVE-2022-40134: SMI Set Bios Password SMI Handler’da bir saldırganın SMM belleği okumasına izin veren bilgi sızıntısı hatası.
- CVE-2022-40135: Akıllı USB Koruması SMI İşleyicisinde, bir saldırganın SMM belleği okumasına izin veren bilgi sızıntısı güvenlik açığı.
- CVE-2022-40136: WMI üzerinden platform ayarlarını yapılandırmak için kullanılan ve bir saldırganın SMM belleği okumasını sağlayan SMI İşleyicisinde bilgi sızıntısı hatası.
- CVE-2022-40137: WMI SMI İşleyicisinde arabellek taşması, bir saldırganın rastgele kod yürütmesini sağlar.
- Amerikan Megatrends güvenlik geliştirmeleri (CVE yok).
SMM (Ring -2), düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem genelinde işlevler sağlayan UEFI sabit yazılımının bir parçasıdır.
SMM’ye erişim, işletim sistemine, RAM’e ve depolama kaynaklarına genişletilebilir; bu yüzden hem AMD hem de Intel geliştirdi SMM izolasyon mekanizmaları kullanıcı verilerini düşük seviyeli tehditlerden korumak için.
iyileştirme
Lenovo, etkilenen ürünler için en son BIOS güncellemelerindeki sorunları düzeltmiştir. Yayınlanan yamaların çoğu, Temmuz ve Ağustos 2022’de piyasaya sürüldüğünden beri mevcuttur.
Eylül ve Ekim ayının sonunda ek yamalar bekleniyor, kısa bir model listesi ise gelecek yıl güncellemeleri alacak.
Etkilenen bilgisayar modellerinin tam listesi ve her bir güvenlik açığını gideren BIOS üretici yazılımı sürümü, güvenlik bülteniher model için indirme portalına bağlantılar ile.
Alternatif olarak, Lenovo bilgisayar sahipleri “Sürücüler ve Yazılım” portalına gidin, ürünlerini ada göre arayın, “Manuel Güncelleme”yi seçin ve mevcut en son BIOS üretici yazılımı sürümünü indirin.