关于 Lenovo(联想)多种笔记本电脑型号存在 多个安全漏洞的安全公告

 漏洞资讯     |      2022-11-17

一、漏洞分析

Lenovo 是一家全球知名的 ICT 科技企业,也是全球智能设备的 领导厂商之一。 Lenovo 本次更新修复了 ThinkBook、IdeaPad 和 Yoga 等多种笔 记本电脑型号中的 2 个漏洞,Ideapad Y700-14ISK 设备中的漏洞(C VE-2022-3432)尚未修复。 UEFI 安全启动是一种验证系统,可确保在计算机启动过程中不 会加载和执行恶意代码,成功利用这些漏洞的恶意用户可以更改操作 系统的安全启动设置,详情如下:

CVE-ID

影响

说明

 

 

 

CVE-2022-3430

 

 

禁用安全启

某些联想笔记本设备上的WMI 设置驱动程序存在漏洞,可能导致具有高权限的恶意用户通过修改NVRAM

变量来修改安全启动设置。

 

 

 

 

CVE-2022-3431

 

 

禁用安全启

某些联想笔记本设备的制造过程中

使用的驱动程序存在漏洞,该驱动程

序未被正确停用,被错误地包含在生

产中,可能导致具有高权限的恶意用

户通过修改NVRAM 变量来修改安

全启动设置。

 

 

 

 

CVE-2022-3432

 

 

禁用安全启

Ideapad Y700-14ISK 设备的制造过

程中使用的驱动程序存在漏洞,该驱

动程序未被正确停用,被错误地包含

在生产中,可能导致具有高权限的恶

意用户通过修改NVRAM 变量来修

改安全启动设置。



二、风险等级

严重

三、影响范围

ThinkBook、IdeaPad、Yoga 等多种系列/型号 注:具体受影响产品型号及其 BIOS 固件版本信息请参考 Lenovo 官方公告列表: https://support.lenovo.com/us/en/product_security/LEN-94952

四、建议处置

目前 Lenovo 已经针对 CVE-2022-3430 和 CVE-2022-3431 发布 了受影响设备的 BIOS 更新,Lenovo 用户可参考官方公告将系统固件更新到相应修复版本(或更高版本)。 对于 CVE-2022-3432,由于 Ideapad Y700-14ISK 已到达生命周 期,Lenovo 将不再支持维护,受影响用户应当注意防范。 下载链接: https://pcsupport.lenovo.com/us/en/ 参考链接 https://support.lenovo.com/us/en/product_security/LEN-94952 https://www.bleepingcomputer.com/news/security/lenovo-fixes -flaws-that-can-be-used-to-disable-uefi-secure-boot/