研究人员发现三个联想电脑的UEFI漏洞 影响规模可达数百万台

根据The Hacker News的报道，有三个高影响的统一可扩展固件接口（UEFI）安全漏洞被公布，即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被发现它们会影响联想的各种设备，如联想Flex、IdeaPads和Yoga笔记本电脑。

最初，CVE-2021-3971和CVE-2021-3972是为了在联想消费者笔记本的制造过程中使用。然而，在制作BIOS镜像时，它们被错误地留在其中，而没有首先停用。攻击者可以获得对这些设备的访问，他们将能够在操作系统运行期间从特权用户模式进程中禁用SPI闪存保护或UEFI安全启动功能。

联想昨天针对这些漏洞发布了安全补丁，如下所示：

CVE-2021-3970-由于某些联想笔记本型号的验证工作不完善，LenovoVariable SMI Handler存在潜在漏洞，可能允许具有本地访问权限和高权限的攻击者执行任意代码。

CVE-2021-3971 - 一些消费型联想笔记本电脑设备上的旧制造工艺中使用的驱动程序存在潜在漏洞，该驱动程序被错误地包含在BIOS镜像中，可能允许具有高权限的攻击者通过修改NVRAM变量修改固件保护区域。

CVE-2021-3972 - 在一些消费类联想笔记本电脑设备的制造过程中使用的驱动程序存在潜在漏洞，该驱动程序被误认为没有被停用，可能允许具有高权限的攻击者通过修改NVRAM变量来修改安全启动设置。

利用这些安全补丁很重要，以避免在未来受到损害。这些威胁是在操作系统获得控制权之前，也就是PC启动过程的早期启动的。因此，攻击者将能够对抗任何基于操作系统内的安全措施。