Pembuat elektronik konsumen Lenovo pada hari Selasa meluncurkan perbaikan untuk memuat tiga kelemahan keamanan dalam firmware UEFI-nya yang memengaruhi lebih dari 70 model produk.
“Kerentanan dapat dieksploitasi untuk mencapai eksekusi kode arbitrer pada fase awal boot platform, yang memungkinkan penyerang membajak alur eksekusi OS dan menonaktifkan beberapa fitur keamanan penting,” firma keamanan siber Slovakia ESET dikatakan dalam serangkaian tweet.
Dilacak sebagai CVE-2022-1890, CVE-2022-1891, dan CVE-2022-1892, ketiga bug tersebut terkait dengan kerentanan buffer overflow yang telah dijelaskan oleh Lenovo sebagai penyebab eskalasi hak istimewa pada sistem yang terpengaruh. Martin Smolár dari ESET telah dikreditkan dengan melaporkan kekurangannya.
Bug berasal dari validasi yang tidak memadai dari variabel NVRAM yang disebut “DataSize” di tiga driver berbeda ReadyBootDxe, SystemLoadDefaultDxe, dan SystemBootManagerDxe, yang mengarah ke buffer overflow yang dapat dipersenjatai untuk mencapai eksekusi kode.
Ini adalah kedua kalinya Lenovo bergerak untuk mengatasi kerentanan keamanan UEFI sejak awal tahun. Pada bulan April, perusahaan menyelesaikan tiga kelemahan (CVE-2021-3970, CVE-2021-3971, dan CVE-2021-3972) — juga ditemukan oleh Smolár — yang dapat disalahgunakan untuk menyebarkan dan menjalankan implan firmware.
Pengguna perangkat yang terkena dampak sangat disarankan untuk memperbarui firmware mereka ke versi terbaru untuk mengurangi potensi ancaman.