關于 Lenovo(聯想)多種筆記本電腦型號存在 多個安全漏洞的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

Lenovo 是一家全球知名的 ICT 科技企業,也是全球智能設備的 領導廠商之一。 Lenovo 本次更新修復了 ThinkBook、IdeaPad 和 Yoga 等多種筆 記本電腦型號中的 2 個漏洞,Ideapad Y700-14ISK 設備中的漏洞(C VE-2022-3432)尚未修復。 UEFI 安全啟動是一種驗證系統,可確保在計算機啟動過程中不 會加載和執行惡意代碼,成功利用這些漏洞的惡意用戶可以更改操作 系統的安全啟動設置,詳情如下:

CVE-ID

影響

說明

 

 

 

CVE-2022-3430

 

 

禁用安全啟

某些聯想筆記本設備上的WMI 設置驅動程序存在漏洞,可能導致具有高權限的惡意用戶通過修改NVRAM

變量來修改安全啟動設置。

 

 

 

 

CVE-2022-3431

 

 

禁用安全啟

某些聯想筆記本設備的制造過程中

使用的驅動程序存在漏洞,該驅動程

序未被正確停用,被錯誤地包含在生

產中,可能導致具有高權限的惡意用

戶通過修改NVRAM 變量來修改安

全啟動設置。

 

 

 

 

CVE-2022-3432

 

 

禁用安全啟

Ideapad Y700-14ISK 設備的制造過

程中使用的驅動程序存在漏洞,該驅

動程序未被正確停用,被錯誤地包含

在生產中,可能導致具有高權限的惡

意用戶通過修改NVRAM 變量來修

改安全啟動設置。



二、風險等級

嚴重

三、影響范圍

ThinkBook、IdeaPad、Yoga 等多種系列/型號 注:具體受影響產品型號及其 BIOS 固件版本信息請參考 Lenovo 官方公告列表: https://support.lenovo.com/us/en/product_security/LEN-94952

四、建議處置

目前 Lenovo 已經針對 CVE-2022-3430 和 CVE-2022-3431 發布 了受影響設備的 BIOS 更新,Lenovo 用戶可參考官方公告將系統固件更新到相應修復版本(或更高版本)。 對于 CVE-2022-3432,由于 Ideapad Y700-14ISK 已到達生命周 期,Lenovo 將不再支持維護,受影響用戶應當注意防范。 下載鏈接: https://pcsupport.lenovo.com/us/en/ 參考鏈接 https://support.lenovo.com/us/en/product_security/LEN-94952 https://www.bleepingcomputer.com/news/security/lenovo-fixes -flaws-that-can-be-used-to-disable-uefi-secure-boot/