Notebookcheck Logo

Mais de 100 modelos de laptop Lenovo afetados por vulnerabilidades da BIOS UEFI

Mais de 1 milhão de laptops Lenovo são afetados pelas vulnerabilidades da BIOS UEFI. (Fonte de imagem: Gettotext)
Mais de 1 milhão de laptops Lenovo são afetados pelas vulnerabilidades da BIOS UEFI. (Fonte de imagem: Gettotext)
Estimativas alertam que mais de 1 milhão de dispositivos Lenovo sofrem de vulnerabilidades de média ameaça da UEFI BIOS. Os patches já estão disponíveis para a maioria dos modelos, mas alguns dispositivos não terão a correção antes de 10 de maio.
Laptop / Notebook Security

A empresa de segurança da Internet ESET identificou recentemente uma série de UEFI BIOS vulnerabilidades que afetam mais de 100 modelos de laptops Lenovo. Pela estimativa da Lenovo, mais de 1 milhão de dispositivos são afetados e precisam receber um patch imediatamente, como avançado hackers poderia acrescentar códigos de firmware maliciosos difíceis de remover e até mesmo indetectáveis.

Estas são as três vulnerabilidades com uma breve descrição da Lenovo

  • CVE-2021-3970 - uma vulnerabilidade potencial com o LenovoVariable SMI Handler devido à validação insuficiente em alguns modelos de Notebook Lenovo, pode permitir que um atacante com acesso local e privilégios elevados execute um código arbitrário.
  • CVE-2021-3971 - uma vulnerabilidade potencial permitida por um driver usado durante processos de fabricação mais antigos em alguns dispositivos de consumo Lenovo Notebook que foi erroneamente incluído na imagem da BIOS, pode permitir que um atacante com privilégios elevados modifique a região de proteção do firmware modificando uma variável NVRAM.
  • CVE-2021-3972 - uma vulnerabilidade potencial permitida por um driver usado durante o processo de fabricação em alguns dispositivos de consumo Lenovo Notebook que erroneamente não foi desativado, pode permitir que um atacante com privilégios elevados modifique as configurações de inicialização segura modificando uma variável NVRAM.

Ars Technica explica que os hackers podem explorar este tipo de vulnerabilidades para desativar as proteções, incluindo inicialização segura UEFI, bits de registro de controle BIOS e registro de alcance protegido, que são cozidos na interface periférica serial (SPI) e projetados para evitar alterações não autorizadas no firmware que executa. Embora os ataques possam ser acionados apenas por "hackers avançados", o desvio do SPI por si só é suficiente para elevar a gravidade da ameaça para o meio.

A Lenovo está fornecendo uma lista para os modelos afetados. A maioria destes já tem patches prontos para serem instalados, mas alguns modelos só receberão uma correção em 10 de maio.

 

Comprar o Lenovo Yoga 7i conversível 2021 na Amazônia

Please share our article, every link counts!
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2022 04 > Mais de 100 modelos de laptop Lenovo afetados por vulnerabilidades da BIOS UEFI
Bogdan Solca, 2022-04-21 (Update: 2022-04-21)