Vulnerabilitățile Lenovo PC/Laptop permit rularea de cod arbitrar
Sursa: https://cybersecuritynews.com
Lenovo a dezvăluit mai multe vulnerabilități de securitate ale BIOS-ului care afectează mai mulți furnizori în ultimul aviz de securitate. Impactul potențial al acestor vulnerabilități ar putea fi dezvăluirea de informații și executarea de cod arbitrar de către mai mulți furnizori de BIOS.
Au existat 26 CVE-uri raportate de Lenovo asociate cu mai mulți furnizori de BIOS, toate având un grad de severitate crescut.
CVE-2023-20594 și CVE-2023-20597 existau la AMD și erau asociate cu vulnerabilități de scurgeri de memorie în driverul AMD DXE în desktop-urile server și client și în APU-urile și CPU-urile mobile, ceea ce putea permite unui utilizator cu privilegii crescute să recupereze informații sensibile.
CVE-2023-5075 a existat în BIOS-ul unor produse Lenovo Notebook, ceea ce putea permite unui atacator local să își ridice privilegiile și să execute cod arbitrar.
CVE-2023-5078 a existat în BIOS-ul unor produse Lenovo ThinkPad, ceea ce putea permite unui atacator cu acces fizic la sistem să își ridice privilegiile și să modifice firmware-ul BIOS-ului.
Produsele Desktop, Smart Edge și ThinkStation au fost raportate cu o vulnerabilitate de escaladare a privilegiilor, care ar putea permite unui atacator local să își ridice privilegiile și să execute variabile NVRAM de scriere. CVE-urile pentru aceste produse au fost:
O altă vulnerabilitate de escaladare a privilegiilor a fost descoperită în produsele Lenovo Desktop, care ar putea permite unui atacator local să își ridice privilegiile și să execute cod arbitrar Au fost identificate cu următoarele CVE-uri:
- CVE-2023-43567;
- CVE-2023-4356;
- CVE-2023-43569;
- CVE-2023-43570;
- CVE-2023-43571;
- CVE-2023-43572;
- CVE-2023-43573;
- CVE-2023-43574;
- CVE-2023-43575;
- CVE-2023-43576;
- CVE-2023-43577;
- CVE-2023-43578;
- CVE-2023-43579;
- CVE-2023-43580;
- CVE-2023-43581.
Lenovo recomandă insistent utilizatorilor să actualizeze firmware-ul sistemului la cea mai recentă versiune, în funcție de modelul lor și de lista de impact a produsului.
Sursă: https://cybersecuritynews.com/lenovo-pc-laptop-flaws/
