Исследователи компании ESET обнаружили и проанализировали три уязвимости, затрагивающие различные модели ноутбуков Lenovo.
Первые две — CVE-2021-3971 и CVE-2021-3972 — влияют на драйверы встроенного ПО UEFI, изначально предназначенные для использования только в процессе производства потребительских ноутбуков Lenovo. К сожалению, они были ошибочно включены и в производственные образы BIOS без надлежащей деактивации.
Злоумышленник может активировать эти драйверы встроенного ПО, чтобы напрямую отключить защиту флеш-памяти SPI или функцию безопасной загрузки UEFI из процесса привилегированного пользовательского режима.
Третья уязвимость с номером CVE-2021-3970 допускает произвольное чтение/запись из/в памяти SMRAM, что может привести к выполнению вредоносного кода с привилегиями SMM и потенциально привести к развёртыванию флеш-имплантата SPI.
Проблема в том, что уязвимости затрагивают более сотни различных моделей ноутбуков Lenovo. Учитывая объёмы продаж компании, речь идёт о миллионах ноутбуков на руках у пользователей.
Специалисты ESET сообщили об уязвимостях самой Lenovo ещё в октябре. При этом часть моделей так и не получит никаких патчей, потому что их срок поддержки истёк. К примеру, это Ideapad 330-15IGM и Ideapad 110-15IGR.
