Hlavní navigace

Tři bezpečnostní chyby v UEFI ohrožují desítky modelů notebooků Lenovo

Sdílet

Petr Krčmář 14. 7. 2022
Lenovo ThinkPad x13s Autor: Lenovo

Společnost Lenovo vydala opravu firmware pro více než 70 modelů svých notebooků. Jejich UEFI totiž obsahuje tři závažné bezpečnostní chyby, které umožňují úspěšnému útočníkovi spustit vlastní kód už v úvodních fázích startu počítače. Tímto postupem je pak možné cíleně ovlivnit start operačního systému nebo vypnout některé bezpečnostní mechanismy.

Chyby nesou označení CVE-2022–1890, CVE-2022–1891 a CVE-2022–1892 všechny jsou způsobeny přetečením vyrovnávací paměti a za jejich objevením stojí Martin Smolár ze společnosti Eset. Problémem je nedostatečná validace proměnné DataSize v NVRAM, kterou chybně zpracovávají ovladače ReadyBootDxe, SystemLoadDefaultDxe a  SystemBootManagerDxe. Jejich prostřednictvím pak může dojít ke spuštění útočníkova kódu.

Už letos v dubnu Martin Smolár objevil tři jiné bezpečnostní mezery v UEFI pro počítače Lenovo a také to vyústilo ve vydání záplatované verze. I v tomto případě je samozřejmě uživatelům doporučováno co nejdříve aktualizovat na nejnovější verzi firmware.

Našli jste v článku chybu?