全球市佔率相當高的 PC 大廠 Lenovo(聯想),日前針對旗下一百款以上的筆記型電腦推出資安更新,修復 3 個存於 UEFI 韌體驅動程式內的資安漏洞,用戶應立即更新。
這三個漏洞是於去(2021)年由資安廠商 ESET 旗下的資安研究人員發現,並於該年 10 月通報給原廠;含有這三個漏洞的筆電款式甚多,包括 Lenovo IdeaPad 3、Legion 5 Pro-16ACH6 H 與 Yoga Slim 9-14IYL05 等系列,全球使用者人數可能多達數百萬人。
三個漏洞中,有兩個(CVE-2021-3971 和 CVE-2021-3972)漏洞,可讓駭侵者關閉針對 SPI 快閃記憶體的機制,而 SPI 快閃記憶體係用以儲存 UEFI 韌體程式碼;這樣駭侵者即可在電腦啟動(boot)期間執行非由原始製造廠(Original Equipment Manufacturer, OEM)提供簽署的程式碼。
另一個漏洞 CVE-2021-3970 則可讓本地端的駭侵者,利用此漏洞提升執行權限,並且於本土端執行任意程式碼。
聯想除了於近日提供新版韌體,修復上述三個漏洞外,也在官網提供所有含有上述漏洞的筆記型電腦形號清單;所有使用 Lenovo 品牌筆記型電腦的用戶,應立即核對自己使用的產品是否列名於清單內,同時立即升級至最新版本韌體,以免遭駭侵者利用這三種已知漏洞發動攻擊。
- CVE編號:CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972
- 影響產品(版本):詳見聯想官網清單。
- 解決方案:依指示更新至最新版本韌體。
本文轉載自TWCERT/CC。