关于Lenovo Notebook BIOS多个安全漏洞的预警提示

发布时间：2022-04-26浏览次数：623

一、漏洞详情 Lenovo（联想）发布安全公告，修复了3个影响上百款联想笔记本电脑型号的UEFI固件漏洞。 这3个漏洞都存在于LenovoNotebookBIOS中。其中CVE-2021-3971和CVE-2021-3972影响了UEFI固件驱动程序，CVE-2021-3970允许对SMRAM进行任意读/写，这可能导致使用SMM权限执行恶意代码。详情如下： CVE-2021-3970：SMM任意读/写 在某些联想笔记本型号中，由于验证不足，LenovoVariableSMI处理程序存在安全问题，可在具有本地访问权限（和提升到更高权限）的情况下执行任意代码。 CVE-2021-3971：禁用SPI闪存保护 在某些联想笔记本设备上，存在安全问题的旧的UEFI固件驱动程序被错误地包含在生产BIOS映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活，以在系统运行时从特权用户模式进程直接禁用SPI闪存保护（BIOS控制寄存器位和受保护范围寄存器）。 CVE-2021-3972：禁用UEFI安全启动 在某些联想笔记本设备上，存在安全问题的旧的UEFI固件驱动程序被错误地包含在生产BIOS映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活，以在系统运行时从特权用户模式进程直接禁用UEFI安全引导功能。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 IdeaPad、Legion、Flex和Yoga等上百款型号。 三、修复建议 目前联想已经发布BIOS更新，用户可以更新。 具体型号及其BIOS更新可参考联想官方公告：https://support.lenovo.com/us/en/product_security/LEN-73440#Lenovo%20Notebook