Người dùng laptop Lenovo nên cập nhật ngay lập tức
Theo công ty nghiên cứu thị trường Gartner, Lenovo hiện đang là nhà sản xuất dẫn đầu thị trường laptop với 24,8% thị phần.
Mới đây, nhà sản xuất máy tính Trung Quốc Lenovo đã cảnh báo người dùng về một số lỗ hổng BIOS có mức độ nghiêm trọng cao, ảnh hưởng đến hàng trăm thiết bị thuộc các dòng máy khác nhau, bao gồm Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem…
Nhiều dòng laptop Lenovo bị ảnh hưởng bởi lỗ hổng. Ảnh: Lenovo
Nếu lỗ hổng bị khai thác, kẻ gian có thể đánh cắp các thông tin quan trọng, leo thang đặc quyền, từ chối dịch vụ và trong một số trường hợp nhất định, thực thi mã tùy ý.
Danh sách các lỗ hổng bảo mật bao gồm:
- CVE-2021-28216: Lỗi con trỏ trong TianoCore EDK II BIOS, cho phép kẻ tấn công nâng cao đặc quyền và thực thi mã tùy ý.
- CVE-2022-40134: Lỗ hổng rò rỉ thông tin trong SMI Set Bios Password SMI Handler, cho phép kẻ tấn công đọc bộ nhớ SMM.
- CVE-2022-40135: Lỗ hổng rò rỉ thông tin trong Smart USB Protection SMI Handler, cho phép kẻ tấn công đọc bộ nhớ SMM.
- CVE-2022-40136: Lỗ hổng rò rỉ thông tin trong SMI Handle được sử dụng để định cấu hình cài đặt nền tảng qua WMI, cho phép kẻ tấn công đọc bộ nhớ SMM.
- CVE-2022-40137: Tràn bộ đệm trong WMI SMI Handler, cho phép kẻ tấn công thực thi mã tùy ý.
SMM (Ring -2) là một phần của UEFI firmware, cung cấp các chức năng trên toàn hệ thống như điều khiển phần cứng cấp thấp và quản lý năng lượng.
Quyền truy cập vào SMM có thể được mở rộng cho hệ điều hành và RAM, và tài nguyên lưu trữ. Đó là lý do tại sao cả AMD và Intel đều đã phát triển cơ chế cách ly SMM để giữ an toàn cho dữ liệu người dùng khỏi các mối đe dọa cấp thấp.
Lenovo đã khắc phục sự cố trong các bản cập nhật BIOS mới nhất cho những sản phẩm bị ảnh hưởng. Hầu hết các bản vá lỗi đã được phát hành trong tháng 7 và tháng 8 năm 2022.
Các bản vá bổ sung dự kiến sẽ có sẵn vào cuối tháng 9 và tháng 10, tuy nhiên sẽ có một số model nhận bản cập nhật vào năm sau.
Bạn đọc quan tâm có thể tham khảo danh sách đầy đủ các kiểu máy tính bị ảnh hưởng tại đây.
Người dùng máy tính Lenovo có thể truy cập vào trang hỗ trợ của Lenovo, gõ model máy đang sử dụng và chọn Manual Update (cập nhật thủ công), sau đó tải về bản vá lỗi mới nhất cho BIOS.
Tải về bản vá bảo mật tương ứng với model đang sử dụng. Ảnh: TIỂU MINH
Nguồn: [Link nguồn]
Phần mềm bloatware (phần mềm được cài đặt sẵn) khó chịu nhất của HP đang tồn tại một lỗ hổng bảo mật nghiêm trọng.