Lenovo は、数十のノートブック モデルで脆弱性の問題を再び抱えています。 ESETResearch は、安全な UEFI セキュア ブートをバイパスするために使用できる脆弱性を発見しました。 Lenovo はすぐに対応し、パッチを提供しています。 脆弱性の重大度は高です。
ESETResearch は、いくつかの Lenovo ノートブックの UEFI ファームウェアに 3 つの脆弱性を発見し、製造元に報告しました。 この脆弱性により、UEFI セキュア ブートを無効にしたり、オペレーティング システムから工場出荷時のデフォルトのセキュア ブート データベースを簡単に復元したりできます。 すでに 今年のXNUMX月に また、 XNUMX月にまた Lenovo は、ノートブックの脆弱性を報告する必要がありました。 これらの更新を見逃した場合は、それらを補う必要があります。
UEFI セキュア ブートの脆弱性
Lenovo は、脆弱性に関する情報について ESET に感謝し、すぐにそれらの更新プログラムを作成しました。 ユーザーは、Lenovo Web サイトで入手できます。 数十のモデルが影響を受けます。 レノボは脆弱性について次のように説明しています。
CVE-2022-3430
一部の Lenovo ノートブック コンシューマー デバイスの WMI セットアップ ドライバーに潜在的な脆弱性があるため、昇格した攻撃者が NVRAM 変数を変更してセキュア ブート設定を変更できる可能性があります。
CVE-2022-3431
製造プロセス中に一部の Lenovo ノートブック コンシューマー デバイスで使用されるドライバーに潜在的な脆弱性があり、意図せずに無効にされなかったため、昇格した攻撃者が NVRAM 変数を変更してセキュア ブート設定を無効にする可能性があります。
CVE-2022-3432
製造プロセス中に Ideapad Y700-14ISK で使用され、誤って無効にされなかったドライバーの潜在的な脆弱性により、昇格した攻撃者が NVRAM 変数を変更してセキュア ブート設定を無効にする可能性があります。
誰が影響を受け、誰が影響を受けないのですか?
Lenovo は、どのモデルがどの脆弱性の影響を受けるかの詳細なリストを提供しています。 複数の場合もあれば、5 つだけの場合もあります。 IdeaPad 7、Lenovo Slim XNUMX、Thinkbook、Yoga、Yoga Slim などの有名な製品ラインが影響を受けます。 脆弱性の重大度が高に分類されているため、更新プログラムはすべてのユーザーに推奨されます。
詳細は Lenovo.com をご覧ください