Lenovo waarschuwt voor kwetsbaarheden in de UEFI firmware van diverse laptopmodellen. De beveiligingsproblemen stellen aanvallers in staat de lokale rechten te bemachtigen en code uit te voeren.
Het gaat om drie buffer overflow-kwetsbaarheden. Deze zitten in de ReadyBootDxe-, SystemLoadDefaultDxe- en SystemBootManagerDxe-driver van sommige Lenovo-producten. Deze zijn geïdentificeerd in de CVE-database als respectievelijk CVE-2022-1890, CVE-2022-1891 en CVE-2022-1892. De fabrikant beoordeelt ernst van de kwetsbaarheden als middelhoog.
Lenovo adviseert de firmware van getroffen modellen zo snel mogelijk te updaten naar de nieuwste versie, waarin de beveiligingsproblemen zijn verholpen. Een lijst met kwetsbare modellen is hier beschikbaar. Lenovo bedankt Martin Smolár van ESET voor het rapporteren van de kwetsbaarheden.
bron: dutchITchannel