Notebookcheck Logo

100+ modelli di laptop Lenovo colpiti da vulnerabilità del BIOS UEFI

Più di 1 milione di computer portatili Lenovo sono affetti dalle vulnerabilità del BIOS UEFI. (Fonte: Gettotext)
Più di 1 milione di computer portatili Lenovo sono affetti dalle vulnerabilità del BIOS UEFI. (Fonte: Gettotext)
Le stime avvertono che oltre 1 milione di dispositivi Lenovo soffrono di vulnerabilità UEFI BIOS di media minaccia. Le patch sono già disponibili per la maggior parte dei modelli, ma alcuni dispositivi non otterranno la correzione prima del 10 maggio.
Laptop / Notebook Security

La società di sicurezza Internet ESET ha recentemente identificato una serie di UEFI BIOS vulnerabilità che interessano più di 100 modelli di laptop Lenovo. Secondo le stime di Lenovo, più di 1 milione di dispositivi sono interessati e hanno bisogno di ricevere una patch immediatamente, come avanzato hacker potrebbero aggiungere codice firmware dannoso difficile da rimuovere e persino non rilevabile.

Queste sono le tre vulnerabilità con una breve descrizione da Lenovo

  • CVE-2021-3970 - una potenziale vulnerabilità con il LenovoVariable SMI Handler dovuta a una validazione insufficiente in alcuni modelli di notebook Lenovo, potrebbe consentire a un utente malintenzionato con accesso locale e privilegi elevati di eseguire codice arbitrario.
  • CVE-2021-3971 - una potenziale vulnerabilità abilitata da un driver utilizzato durante i vecchi processi di produzione su alcuni dispositivi notebook Lenovo consumer che è stato erroneamente incluso nell'immagine BIOS, potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare la regione di protezione del firmware modificando una variabile NVRAM.
  • CVE-2021-3972 - una potenziale vulnerabilità abilitata da un driver utilizzato durante il processo di produzione su alcuni dispositivi notebook Lenovo consumer che erroneamente non è stato disattivato, potrebbe consentire a un utente malintenzionato con privilegi elevati di modificare le impostazioni di avvio sicuro modificando una variabile NVRAM.

Ars Technica spiega che gli hacker possono sfruttare questo tipo di vulnerabilità per disabilitare le protezioni, tra cui UEFI secure boot, i bit del registro di controllo del BIOS e il registro dell'intervallo protetto, che sono cotti nell'interfaccia periferica seriale (SPI) e progettati per impedire modifiche non autorizzate al firmware in esecuzione. Anche se gli attacchi potrebbero essere attivati solo da "hacker avanzati", il bypass SPI da solo è sufficiente per elevare la gravità della minaccia a media.

Lenovo sta fornendo una lista dei modelli colpiti. La maggior parte di questi ha già le patch pronte per essere installate, ma alcuni modelli riceveranno una correzione solo il 10 maggio.

 

Acquista il 2021 Lenovo Yoga 7i convertibile su Amazon

Please share our article, every link counts!
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2022 04 > 100+ modelli di laptop Lenovo colpiti da vulnerabilità del BIOS UEFI
Bogdan Solca, 2022-04-21 (Update: 2022-04-21)