Компания Lenovo предупредила пользователей об опасных уязвимостях в BIOS. Ошибки затронули: ПК, моноблоки, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation и ThinkSystem.
Применение обнаруженных ошибок злоумышленниками может привести к раскрытию информации, повышению прав, отказу в обслуживании (DoS) или выполнению вредоносного кода:
- CVE-2021-28216 в TianoCore EDK II BIOS позволял злоумышленнику повысить свои права в системе и выполнить произвольный код
- CVE-2022-40134 и CVE-2022-40135 представляли собой проблемы утечки информации в обработчике Set Bios Password SMI, позволяя считывать память SMM
- CVE-2022-40137 заключается в переполнении буфера в обработчике WMI SMI, позволяя выполнить произвольный код
Поясняется, что SMM является частью прошивки UEFI и обеспечивает низкоуровневое управление оборудованием, а также управление питанием. Lenovo выпустила обновление BIOS, которое устраняет все вышеперечисленные проблемы.