Vulnérabilités du BIOS : Lenovo publie un nouveau micrologiciel pour de nombreux ordinateurs portables

Image : Lenovo

Lenovo a publié un avis de sécurité pour trois vulnérabilités dans son micrologiciel UEFI, qui affecteraient plus de 70 ordinateurs portables du fabricant. Les experts en sécurité d’ESET ont attiré l’attention de Lenovo sur ces failles de sécurité il y a quelque temps, et les premières mises à jour sont maintenant disponibles.

Le rapport d’avis de sécurité actuel « Lenovo Notebook BIOS Vulnerabilities » répertorie les trois vulnérabilités CVE-2022-1890, CVE-2022-1891 et CVE-2022-1892 et recommande donc aux utilisateurs concernés de mettre à jour immédiatement le micrologiciel UEFI de leurs ordinateurs portables.

Des vulnérabilités menacent plus de 70 modèles

Le constructeur a également déjà publié une liste des plus de 70 modèles concernés et du firmware associé via son support.

En cas de failles de sécurité, les attaquants peuvent, même si ce n’est que localement, exécuter du code malveillant lors de la phase de démarrage au démarrage du système, comme l’a signalé pour la première fois le site Web Born’s IT et Windows Blog.

De nombreux ordinateurs portables des séries Yoga, ThinkPad, IdeaPad et Legion peuvent être attaqués via les points faibles.

CVE-2022-1890 : un dépassement de mémoire tampon a été identifié dans le pilote ReadyBootDxe de certains produits d’ordinateurs portables Lenovo qui pourrait permettre à un attaquant disposant de privilèges locaux d’exécuter du code arbitraire. CVE-2022-1891 : dans certains produits d’ordinateurs portables Lenovo, un débordement de mémoire tampon découvert dans le pilote SystemLoadDefaultDxe qui pourrait permettre à un attaquant disposant de privilèges locaux d’exécuter du code arbitraire.CVE-2022-1892 : dans certains produits d’ordinateurs portables Lenovo, un débordement de mémoire tampon a été découvert dans le pilote SystemBootManagerDxe qui pourrait permettre à un attaquant disposant de privilèges locaux d’utiliser le pourrait permettre l’exécution de code arbitraire.

Les mises à jour correspondantes pour le micrologiciel UEFI des modèles concernés sont directement liées via le rapport de sécurité de Lenovo. Les experts en sécurité d’ESET fournissent plus d’informations sur les trois failles de sécurité via Twitter.

#ESETresearch a découvert et signalé au fabricant trois vulnérabilités de dépassement de mémoire tampon dans le micrologiciel UEFI de plusieurs appareils portables #Lenovo, affectant plus de 70 modèles différents, dont plusieurs modèles de ThinkBook. @smolar_m 1/6

– Recherche ESET (@ESETresearch) 13 juillet 2022

Articles similaires

Bouton retour en haut de la page