Более 70 моделей ноутбуков Lenovo подвержены трем опасным уязвимостям

Во вторник Lenovo выпустила исправления для трех уязвимостей в прошивке UEFI, затронувших более 70 моделей ноутбуков. ESET, словацкая компания в сфере кибербезопасности, описала уязвимости в своем Twitter: “Уязвимости могут быть использованы для выполнения произвольного кода на ранних этапах загрузки ОС, что позволяет злоумышленникам перехватить поток выполнения ОС и отключить некоторые важные защитные функции”.

Уязвимостям присвоены идентификаторы CVE-2022-1890 , CVE-2022-1891 и CVE-2022-1892 . Все они связаны с ошибкой переполнения буфера, которая позволяет хакерам повышать привилегии на затронутых системах и выполнять произвольный код.

Переполнить буфер хакерам позволяет неадекватная проверка параметра DataSize в переменной NVRAM в драйверах ReadyBootDxe, SystemLoadDefaultDxe и SystemBootManagerDxe.

Напомним, Lenovo уже второй раз за этот год устраняет уязвимости UEFI в своих устройствах. В апреле компания исправила три уязвимости (CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972) в прошивке UEFI, эксплуатация которых позволяет развертывать и успешно запускать вредоносное ПО в BIOS ноутбука Lenovo.