ثغرات تسمح بتنفيذ تعليمات برمجية خبيثة في 70 لابتوب من طراز Lenovo

بالنسبة لمالكي جهاز Lenovo من 70 طرازًا من أجهزة الكمبيوتر المحمول، حان الوقت لتحديث الـ  UEFI ضد نقاط الضعف الخطيرة (Vulnerabilities) التي يمكن للمهاجمين استغلالها لتثبيت برامج ضارة يكاد يكون من المستحيل اكتشافها أو إزالتها.

أصدرت الشركة المصنعة لأجهزة الكمبيوتر المحمول Lenovo يوم الثلاثاء تحديثات لثلاث نقاط ضعف وجدها الباحثون في UEFI firmware المستخدمة لتشغيل مجموعة من طرازات الكمبيوتر المحمول، بما في ذلك حواسيب Yoga و ThinkBook و IdeaPad. قامت الشركة بتعيين تصنيف متوسط الخطورة للثغرات الأمنية, والتي يتم تتبعها بـ CVE-2022-1890 و CVE-2022-1891 و CVE-2022-1892 وتؤثر على برامج التشغيل ReadyBootDxe و SystemLoadDefaultDxe و SystemBootManagerDxe على التوالي.

تم الإبلاغ عن الثغرات الأمنية التالية في Lenovo Notebook BIOS.

CVE-2022-1890: تم تحديد buffer overflow  في برنامج تشغيل ReadyBootDxe في بعض منتجات Lenovo المحمولة التي قد تسمح لمهاجم لديه امتيازات محلية بتنفيذ تعليمات برمجية عشوائية.

CVE-2022-1891: تم تحديد buffer overflow في برنامج تشغيل SystemLoadDefaultDxe في بعض منتجات Lenovo المحمولة التي قد تسمح لمهاجم لديه امتيازات محلية بتنفيذ تعليمات برمجية عشوائية.

CVE-2022-1892: تم التعرف على buffer overflow في برنامج تشغيل SystemBootManagerDxe في بعض منتجات Lenovo المحمولة التي قد تسمح لمهاجم لديه امتيازات محلية بتنفيذ تعليمات برمجية عشوائية.

 "يمكن استغلال الثغرات الأمنية لتحقيق تنفيذ تعسفي للتعليمات البرمجية في المراحل الأولى من تمهيد (اقلاع/Boot) النظام الأساسي, مما قد يسمح للمهاجمين باختطاف تدفق تنفيذ نظام التشغيل وتعطيل بعض ميزات الأمان المهمة. نتجت هذه الثغرات الأمنية عن التحقق الناقص من صحة عامل DataSize التي يتم تمريرها إلى GetVariable (UEFI Runtime Services function). يمكن للمهاجم إنشاء متغير NVRAM مصمم خصيصًا، مما يتسبب في buffer overflow لـ Data buffer عند النداء الثاني لـ GetVariable" قالت شركة ESET الأمنية.

قائمة الحواسيب المعنية بالثغرة