联想已经修复了一些主要的BIOS缺陷,这些缺陷使威胁行为者有可能在其广泛的产品中发起各种破坏性网络攻击,从台式电脑(在新标签中打开),到笔记本电脑。
在本周早些时候发布的安全公告中,该公司表示,其数百种设备,包括Desktop、AllinOne、IdeaCentre、Legion、ThinkCentre、ThinkPad、ThinkAgile、ThinkStation和ThinkSystem系列,总共易受六种不同的攻击。漏洞。
威胁行为者可能会滥用这些漏洞来窃取敏感数据、提升权限、发起拒绝服务攻击,并且在极端情况下允许任意代码执行。
联想修复的缺陷包括CVE-2021-28216(TianoCoreEDKIIBIOS中的指针缺陷-允许特权提升和任意代码执行)、CVE-2022-40134(SMI设置Bios密码SMI处理程序中的信息泄漏漏洞-允许SMM内存读取)、CVE-2022-40135(SmartUSBProtectionSMI处理程序中的信息泄漏漏洞,允许读取SMM内存)、CVE-2022-40136(用于通过WMI配置平台设置的SMI处理程序中的信息泄漏漏洞,允许用于SMM内存读取)、CVE-2022-40137(WMISMI处理程序中的缓冲区溢出,允许执行任意代码)、AmericanMegatrends安全增强(无CVE)。
这些缺陷的修复是上述设备最新BIOS更新的一部分,该公司建议所有系统管理员立即应用它们。
更多补丁(在新标签中打开)预计将在本月底之前以及10月发布,其中一些模型将在明年初获得更新。
那些对修复端点感兴趣的人(在新标签中打开)应该导航到联想的“驱动程序和软件”门户,按名称搜索他们的设备,然后选择“手动更新”。这将下载最新的BIOS固件版本,然后他们可以手动安装。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!