2022年第4期

【预警类型】高危预警

【预警内容】联想新UEFI固件漏洞

一、漏洞概述：

       这三个漏洞于2021年10月11日向PC制造商报告，随后于2022年4月12日发布补丁。联想描述的三个漏洞的摘要如下：

二、影响范围：

       该漏洞已经影响了联想Flex；IdeaPads；拯救者；V14，V15和V17系列；以及ThinkPad yoga系列。加上自2022年年初以来已经披露Insyde Software的InsydeH2O、HP UEFI和Dell中的50多个固件漏洞。

      “UEFI威胁是极其隐蔽且危险的，”安全研究员道，“它们在启动过程的早期执行，然后将控制权转移到操作系统，这表示这些漏洞可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。”

三、解决方案或建议：

        关注联想官方网站，尽快升级最新补丁程序。