Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Lenovo устранила две уязвимости, позволявшие отключить UEFI Secure Boot в её ноутбуках

Компания Lenovo устранила две опасные уязвимости, которые могли использоваться злоумышленниками для отключения UEFI Secure Boot и затрагивают разные модели ноутбуков ThinkBook, IdeaPad и Yoga. UEFI Secure Boot — это инструмент проверки, защищающий от выполнения неподписанного и вредоносного кода во время загрузки компьютера.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Последствия выполнения вредоносного кода до загрузки операционной системы могут быть очень серьёзными, поскольку в этом случае можно обойти все средства защиты и запустить вредоносное программное обеспечение, избавиться от которого не удастся даже в случае переустановки ОС. Проблема возникла не из-за ошибок в коде, а по причине того, что Lenovo случайно сделала общедоступными драйверы, предназначенные для использования в разработке.

Наличие этих драйверов в нескольких серийных продуктах Lenovo обнаружили специалисты компании ESET. Они установили, что для эксплуатации уязвимостей злоумышленникам достаточно создать специальные переменные NVRAM. Специалист по информационной безопасности Николай Шлей (Nikolaj Schlej) в своём аккаунте в сети Twitter рассказал подробнее, почему разработчикам UEFI-прошивок не стоит использовать NVRAM.

Что касается самих уязвимостей, то речь идёт о CVE-2022-3430 и CVE-2022-3431. Первая из них затрагивает драйвер WMI Setup в некоторых ноутбуках Lenovo и позволяет злоумышленнику с повышенными привилегиями менять настройки Secure Boot путём изменения переменной NVRAM. Вторая уязвимость касается драйвера, который не должен был попасть на серийные устройства, а её эксплуатация, как и в первом случае, позволяет менять настройки Secure Boot через NVRAM. Существует также третья аналогичная уязвимость CVE-2022-3432, затрагивающая только ноутбуки IdeaPad Y700-14ISK. Lenovo не будет устранять её, поскольку поддержка этой модели уже завершилась.

Ознакомиться с полным списком ноутбуков Lenovo, которые затронуты данной проблемой, можно на странице поддержки компании. Обновления программного обеспечения можно найти на сайте Lenovo или же воспользовавшись средствами поиска обновлений на пользовательских устройствах.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Metal Slug Tactics наконец вышла — демократичная цена в российском Steam и первые оценки 58 мин.
Подарок к юбилею: спустя пять лет после запуска Call of Duty: Mobile достигла миллиарда загрузок 3 ч.
Симулятор жизни в беззаботном постапокалипсисе I Am Future готов вырваться из раннего доступа — новый трейлер и дата выхода 3 ч.
В «Google Сообщениях» можно будет выбирать качество отправляемых изображений 3 ч.
Арестован хакер, подозреваемый во взломе Ticketmaster и десятков других клиентов Snowflake 4 ч.
Вышла вторая бета iOS 18.2 — Siri с ChatGPT Plus, улучшенный «Локатор» и другие изменения 4 ч.
«Яндекс», подвинься: VK начнёт предустанавливать свои сервисы на автомобили в России 4 ч.
Система управления уязвимостями Security Vision Vulnerability Management получила крупное обновление 4 ч.
Meta оштрафовали в Южной Корее на $15 млн за незаконный сбор пользовательских данных 4 ч.
Ubisoft поделилась деталями самого крупного обновления для Star Wars Outlaws и сменила творческого руководителя игры 5 ч.
В ранней Вселенной обнаружена чёрная дыра, поглощающая материю сверх всяких разумных пределов 29 мин.
SK Telecom построит гигаваттные ИИ ЦОД в Южной Корее и за её пределами 31 мин.
Vivo анонсировала выпуск в России смартфона iQoo Z9 со Snapdragon 7 Gen 3 и 144-Гц экраном 40 мин.
Спутники SpaceX Starlink обеспечили сотовой связью более 27 000 человек в районах США, пострадавших от ураганов 51 мин.
Toyota подняла аэротакси Joby Aviation в небо Японии 3 ч.
Corsair выпустила MP700 Elite — доступные SSD с PCIe 5.0 объёмом до 2 Тбайт со скоростью до 10 000 Мбайт/с 3 ч.
Klevv представила комплекты модулей памяти Urbane V RGB DDR5 — до 64 Гбайт и 8400 МТ/с 4 ч.
«Росстандарт» утвердил первые ГОСТы для ноутбуков 4 ч.
Развитие генеративного ИИ всё больше зависит от доступности качественных данных, пресной воды, электроэнергии и чистой меди 5 ч.
IRDM представила накопители IRDM PRO GEN 5 SSD — до 4 Тбайт и до 12 000 Мбайт/с 6 ч.