Lenovoは19日、同社製ノートPCの一部製品のBIOSに特権の昇格といった脆弱性があることを明らかにし、修正版BIOSを提供すると発表した。
今回発表された脆弱性(共通脆弱性識別子)は以下の通り。
- CVE-2021-3970:一部のノートPCにおいて、 LenovoVariable SMIハンドラーの検証が不十分であり、潜在的な脆弱性が存在。攻撃者はローカルアクセスを通して不正に昇格し、任意のコードを実行する可能性がある
- CVE-2021-3971:古い製造プロセスで使われたドライバが、コンシューマ向けノートPCで誤ってBIOSイメージに含まれてしまっており、この脆弱性により攻撃者は不正な昇格によりNVRAMを書き換え、ファームウェアの保護範囲を変更可能になってしまう可能性
- CVE-2021-3972:製造プロセスで使われたドライバが、コンシューマ向けノートPCで誤って無効化されず、攻撃者はNVRAMを書き換えることでセキュアブートの設定を変更できてしまう可能性
Lenovoでは対象のシステムに対し対策版BIOSを配布することで対処している。対象システムは「IdeaPad 3」、「Legion 5」、「Legion S7」、「Legion Y540」、「Legion Y545」、「Legion Y7000」、「Yoga C740」、「Yoga C940」、「Yoga Slim 7 Pro」、「Yoga Slim 9」、「ideapad Gaming 3」など多数。
なお、一部モデルの脆弱性対象の有無が異なるほか、BIOS提供が5月10日になる製品もある。
レノボの「IdeaPad」や「Legion」シリーズのBIOSに脆弱性。修正版提供へ - PC Watch
Read More
No comments:
Post a Comment