ESET曝联想电脑BIOS固件存在漏洞附官方固件修复方法

2022年11月14日 网络资讯 暂无评论 阅读 75 次

ESET是国外非常有名的杀毒软件厂商,大家熟悉的NOD32杀毒软件,vb的第一名。ESET公司日前公布联想笔记本电脑BIOS 固件的最新安全漏洞,漏洞公布前已经提前通报联想进行修复。主要涉及联想消费级笔记本电脑中使用的固件存在漏洞 , 攻击者可通过需改NVRAM变量禁用安全启动。禁用UEFI安全启动后攻击者可以通过各类恶意软件展开攻击 , 考虑到联想设备庞大的用户群因此威胁非常大。目前联想已经推出新版固件修复漏洞。这也是2022年到目前为止联想出现的第三次BIOS或者UEFI固件漏洞。希望联想公司能全面排除bios漏洞,杜绝隐患。


具体漏洞详情:
CVE-2022-3430:部分联想消费者笔记本电脑上的WMI 设置驱动程序中存在安全漏洞可能会被攻击者利用。攻击者利用该漏洞可以进行权限提升,从而通过修改NVRAM (非易失性存储器)变量禁用UEFI安全启动功能。

CVE-2022-3431:在某些消费笔记本电脑制造过程中使用的驱动程序存在漏洞 ,这些驱动通常被用于测试。这类测试用的驱动程序并未被停用导致漏洞还可以被利用,攻击者同样可以用来修改变量从而禁用安全启动。

CVE-2022-3432:Lenovo Ideapad Y700-14ISK笔记本电脑也是测试驱动的漏洞,情况和上面的漏洞类似。但由于这款上市于 2016 年的机器目前已被联想结束支持,因此无法修复漏洞,用户只能购买新笔记本电脑。

联想公司目前已经提供了新的BIOS固件来修复漏洞,具体方法:打开下面联想网站,输入你的笔记本电脑完整型号,查找最新固件下载后手动更新即可。

联想中国用户  IBM品牌用户

给我留言