A ESET já havia descoberto brechas de segurança UEFI perigosas em notebooks Lenovo em abril. A própria Lenovo agora está relatando que recomenda a instalação de novo firmware para mais de 500 modelos, pois às vezes há falhas de segurança altamente perigosas.
A Lenovo tem que baixar a cabeça novamente e relatar a presença de muitas vulnerabilidades de segurança em várias versões de BIOS de seus aparelhos. Já tive que alguns meses atrás Lenovo corrigirá as vulnerabilidades encontradas pela ESET em muitas versões do UEFI BIOS. A lista atualmente publicada de versões de BIOS afetadas é novamente bastante longa. Além de desktops, notebooks, estações de trabalho, armazenamento e servidores, a Lenovo lista os problemas associados e recomenda atualizações. A lista nomeia mais de 500 dispositivos!
Nova lista de atualização do BIOS para setembro de 2022
Em seu site, a Lenovo lista várias recomendações de segurança sob o seguinte ponto "Multi-Vendor BIOS Security Vulnerabilities (setembro de 2022)" (LEN-94953). A Lenovo cita os seguintes riscos para o ataque potencial: divulgação de informações, escalação de direitos, negação de serviço. As vulnerabilidades têm uma gravidade de alta. Os seguintes identificadores CVE são especificados: CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136, CVE-2022-40137.
Na lista muito extensa, a Lenovo lista os dispositivos afetados individualmente. Ele também explica em detalhes quais CVEs são afetados. Às vezes, todas as vulnerabilidades são reunidas, às vezes há apenas uma ou duas vulnerabilidades. Mas não importa qual seja a vulnerabilidade: as atualizações devem ser implementadas o mais rápido possível. Se você não se dá bem com isso, encontrará um link para uma ferramenta de atualização no início da tabela.
Mais em Lenovo.com