Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Lenovo устранила две уязвимости, позволявшие отключить UEFI Secure Boot в её ноутбуках

Компания Lenovo устранила две опасные уязвимости, которые могли использоваться злоумышленниками для отключения UEFI Secure Boot и затрагивают разные модели ноутбуков ThinkBook, IdeaPad и Yoga. UEFI Secure Boot — это инструмент проверки, защищающий от выполнения неподписанного и вредоносного кода во время загрузки компьютера.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Последствия выполнения вредоносного кода до загрузки операционной системы могут быть очень серьёзными, поскольку в этом случае можно обойти все средства защиты и запустить вредоносное программное обеспечение, избавиться от которого не удастся даже в случае переустановки ОС. Проблема возникла не из-за ошибок в коде, а по причине того, что Lenovo случайно сделала общедоступными драйверы, предназначенные для использования в разработке.

Наличие этих драйверов в нескольких серийных продуктах Lenovo обнаружили специалисты компании ESET. Они установили, что для эксплуатации уязвимостей злоумышленникам достаточно создать специальные переменные NVRAM. Специалист по информационной безопасности Николай Шлей (Nikolaj Schlej) в своём аккаунте в сети Twitter рассказал подробнее, почему разработчикам UEFI-прошивок не стоит использовать NVRAM.

Что касается самих уязвимостей, то речь идёт о CVE-2022-3430 и CVE-2022-3431. Первая из них затрагивает драйвер WMI Setup в некоторых ноутбуках Lenovo и позволяет злоумышленнику с повышенными привилегиями менять настройки Secure Boot путём изменения переменной NVRAM. Вторая уязвимость касается драйвера, который не должен был попасть на серийные устройства, а её эксплуатация, как и в первом случае, позволяет менять настройки Secure Boot через NVRAM. Существует также третья аналогичная уязвимость CVE-2022-3432, затрагивающая только ноутбуки IdeaPad Y700-14ISK. Lenovo не будет устранять её, поскольку поддержка этой модели уже завершилась.

Ознакомиться с полным списком ноутбуков Lenovo, которые затронуты данной проблемой, можно на странице поддержки компании. Обновления программного обеспечения можно найти на сайте Lenovo или же воспользовавшись средствами поиска обновлений на пользовательских устройствах.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Не очень хорошо, но очень интересно»: критики вынесли вердикт экшен-хоррору Slitterhead от создателя Silent Hill 8 ч.
«У нас всего один шанс»: Ubisoft объяснила, почему перенос Assassin's Creed Shadows был необходим 10 ч.
Игрок обнаружил в ремейке Silent Hill 2 секретное послание — разработчики боялись, что загадка будет слишком сложной 11 ч.
Baldur’s Gate 3, Stellar Blade, Star Wars Outlaws и многие другие: поддержку PS5 Pro на запуске получат более 50 игр 12 ч.
Евросоюз проверит iPadOS на соответствие требованием антимонопольного законодательства 13 ч.
Windows 11 закрепилась как самая популярная ОС в Steam 15 ч.
«Смута» получила «знаковое» обновление 2.0.0 и крупнейшую скидку с релиза, а на iOS и Android вышла визуальная новелла «Смута: Зов сердца» 18 ч.
iOS 18.2 выйдет раньше — интеграция с ChatGPT и ИИ-генератор эмодзи Genmoji появятся на iPhone уже 2 декабря 19 ч.
Энтузиаст запустил классическую Doom на умном будильнике Alarmo от Nintendo 19 ч.
Project Borealis: Prologue обзавелась страницей в Steam — новые скриншоты демоверсии фанатской Half-Life 3 на Unreal Engine 5 20 ч.