偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

聯(lián)想超70款筆記本電腦被曝新型UEFI固件漏洞

安全
據(jù)悉,這三個漏洞由安全軟件公司ESET的分析師發(fā)現(xiàn),并已經(jīng)將其報告給了聯(lián)想。根據(jù)聯(lián)想的披露,這三個中等嚴重級別的漏洞分別為CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。

據(jù)Bleeping Computer網(wǎng)站7月13日消息,由聯(lián)想生產(chǎn)的超70款筆記本電腦正受三個 UEFI 固件緩沖區(qū)溢出漏洞的影響,這些漏洞能讓攻擊者劫持Windows系統(tǒng)并執(zhí)行任意代碼。

據(jù)悉,這三個漏洞由安全軟件公司ESET的分析師發(fā)現(xiàn),并已經(jīng)將其報告給了聯(lián)想。根據(jù)聯(lián)想的披露,這三個中等嚴重級別的漏洞分別為CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一個為聯(lián)想部分筆記本產(chǎn)品使用的ReadyBootDxe驅(qū)動的問題,后兩個是SystemLoadDefaultDxe驅(qū)動的緩沖區(qū)溢出漏洞,該驅(qū)動被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款電腦型號。

ESET的分析師表示,這些漏洞是由于傳遞給 UEFI 運行時服務函數(shù) GetVariable 的 DataSize 參數(shù)驗證不充分引起,攻擊者可以創(chuàng)建一個特制的 NVRAM 變量,導致第二個 GetVariable 調(diào)用中數(shù)據(jù)緩沖區(qū)的緩沖區(qū)溢出。

觸發(fā)利用 CVE-2022-1892 的變量

總體而言,利用UEFI 固件漏洞的攻擊非常危險,能讓攻擊者在操作系統(tǒng)剛啟動時運行惡意軟件,甚至在 Windows 內(nèi)置安全保護被激活之前,從而繞過或禁用操作系統(tǒng)級別的安全保護、逃避檢測,并且即使在磁盤格式化后仍然存在。對于一些經(jīng)驗豐富的攻擊者,能夠利用這些漏洞執(zhí)行任意代碼,對設備系統(tǒng)產(chǎn)生難以預估的影響。

為了解決這一風險,官方建議受影響設備的用戶通過官網(wǎng)下載適用于其產(chǎn)品的最新驅(qū)動程序版本。

參考來源:https://www.bleepingcomputer.com/news/security/new-uefi-firmware-flaws-impact-over-70-lenovo-laptop-models/

責任編輯:趙寧寧 來源: FreeBuf.COM
相關推薦

2011-05-07 20:13:09

聯(lián)想筆記本

2009-04-16 10:37:34

聯(lián)想3G

2011-04-29 10:26:15

2011-05-06 10:31:32

筆記本電池

2011-10-26 09:49:38

平板筆記本銷量

2015-03-11 14:23:53

2011-05-06 09:20:00

筆記本黑屏

2010-09-16 14:34:59

筆記本無線上網(wǎng)

2015-05-08 12:11:14

2020-05-12 12:06:36

筆記本全球銷量

2011-04-29 10:21:28

acerNEC

2011-05-06 09:19:53

2010-08-23 10:50:22

無線上網(wǎng)

2011-05-06 09:55:56

筆記本硬盤

2011-05-07 19:01:37

2023-11-23 06:32:24

2015-03-02 09:12:12

2010-04-09 15:44:48

筆記本電腦無線上網(wǎng)

2011-05-07 18:18:45

筆記本電腦問題

2011-07-03 16:19:19

點贊
收藏

51CTO技術棧公眾號