安全公司ESET日前公布聯(lián)想筆記本電腦BIOS 固件的最新安全漏洞，漏洞公布前已經(jīng)提前通報(bào)聯(lián)想進(jìn)行修復(fù)。

根據(jù)安全公告聯(lián)想消費(fèi)級(jí)筆記本電腦中使用的固件存在漏洞 ,? 攻擊者可通過(guò)需改NVRAM變量禁用安全啟動(dòng)。

禁用UEFI安全啟動(dòng)后攻擊者可以通過(guò)各類惡意軟件展開攻擊 , 考慮到聯(lián)想設(shè)備龐大的用戶群因此威脅非常大。

目前聯(lián)想已經(jīng)推出新版固件修復(fù)漏洞 ,? 這也是2022年到目前為止聯(lián)想出現(xiàn)的第三次BIOS或者UEFI固件漏洞。

以下是漏洞詳情：

CVE-2022-3430：部分聯(lián)想消費(fèi)者筆記本電腦上的WMI 設(shè)置驅(qū)動(dòng)程序中存在安全漏洞可能會(huì)被攻擊者利用。

攻擊者利用該漏洞可以進(jìn)行權(quán)限提升，從而通過(guò)修改NVRAM (非易失性存儲(chǔ)器)變量禁用UEFI安全啟動(dòng)功能。

CVE-2022-3431：在某些消費(fèi)筆記本電腦制造過(guò)程中使用的驅(qū)動(dòng)程序存在漏洞 ，這些驅(qū)動(dòng)通常被用于測(cè)試。

這類測(cè)試用的驅(qū)動(dòng)程序并未被停用導(dǎo)致漏洞還可以被利用，攻擊者同樣可以用來(lái)修改變量從而禁用安全啟動(dòng)。

CVE-2022-3432：Lenovo Ideapad Y700-14ISK筆記本電腦也是測(cè)試驅(qū)動(dòng)的漏洞，情況和上面的漏洞類似。

但由于這款上市于 2016 年的機(jī)器目前已被聯(lián)想結(jié)束支持，因此無(wú)法修復(fù)漏洞，用戶只能購(gòu)買新筆記本電腦。

新版固件下載地址：

對(duì)于中國(guó)用戶請(qǐng)點(diǎn)擊這里訪問(wèn)支持站點(diǎn)，輸入你的筆記本電腦完整型號(hào)，查找最新固件下載后手動(dòng)更新即可。

對(duì)于非中國(guó)用戶請(qǐng)點(diǎn)擊這里訪問(wèn)聯(lián)想國(guó)際站支持站點(diǎn)，對(duì)于IBM品牌的部分機(jī)器，請(qǐng)點(diǎn)擊這里進(jìn)入支持站點(diǎn)。

受影響的聯(lián)想筆記本電腦非常多藍(lán)點(diǎn)網(wǎng)這里不再?gòu)?fù)制機(jī)型列表，如有需要請(qǐng)點(diǎn)擊這里查看所有受影響的機(jī)型。

相關(guān)內(nèi)容：

• 聯(lián)想筆記本電腦再次出現(xiàn)UEFI安全漏洞 影響70余款機(jī)型可被用來(lái)劫持系統(tǒng)

• 聯(lián)想用戶請(qǐng)暫時(shí)不要更新BIOS 部分用戶更新固件后無(wú)法啟動(dòng)或啟動(dòng)后黑屏

• 聯(lián)想數(shù)百款機(jī)型存在UEFI安全漏洞 聯(lián)想已發(fā)布更新請(qǐng)用戶速速升級(jí)