联想修复三项 BIOS 安全漏洞影响超70款笔记本

关键要点

• 联想已发布针对三项 BIOS 安全漏洞的补丁，这些漏洞影响超过70款笔记本电脑。
• CVE-2022-1892 漏洞影响所有设备，攻击者可利用这些漏洞执行任意代码。
• 漏洞源于对 UEFI 运行时服务函数 GetVariable 的 DataSize 参数缺乏充分验证。
• 联想还警告用户有关可能影响使用 Intel 和 AMD 处理器的设备的推测性 Retbleed 攻击。
• 此外，还发布了有关影响 Lenovo XClarity Controller 服务器管理引擎的安全缺陷的公告，攻击者可能利用这些漏洞导致拒绝服务（DoS）情况。

联想公司已针对其多款笔记本电脑发布了补丁，以修复三项严重的 BIOS 安全漏洞。其中一项被追踪为 CVE-2022-1892，影响所有设备。根据 ，这些漏洞的存在使攻击者能够在平台启动的早期阶段执行任意代码，劫持操作系统执行流，并禁用安全功能。

研究人员表示，ESET 发现的这些漏洞源自对传递给 UEFI 运行时服务函数 GetVariable 的 DataSize参数验证不充分，攻击者可以创建一个特制的 NVRAM 变量，导致第二次 GetVariable 调用中的数据缓冲区溢出。

除了上述漏洞，联想还警告称，使用 Intel 和 AMD 处理器的设备可能会受到推测性 Retbleed 攻击的影响。联想公司还发布了关于影响 XClarity Controller 服务器管理引擎的安全缺陷的公告，攻击者可以利用这些缺陷导致拒绝服务（DoS）条件。

迄今为止，用户应尽快更新其设备的 BIOS，以确保获得最新的安全修复，保护其信息安全。