Frissítésre szorulnak a Lenovo számítógépek

​A Lenovo olyan biztonsági frissítéseket adott ki, amelyek az asztali és a hordozható számítógépei, munkaállomásai és szerverei esetében szüntetnek meg veszélyes sebezhetőségeket.
 

A BIOS-szal kapcsolatban felmerülő sérülékenységeket különös odafigyeléssel érdemes kezelni, mivel ezek a biztonsági rések sok esetben komoly károkozásokhoz vezethetnek. Az ilyen jellegű sebezhetőségek egyik veszélye, hogy a kihasználásukkal az operációs rendszer szintje alatt lehet manipulációkat végrehajtani, amelyeket a védelmi alkalmazások többsége nem képes detektálni, illetve megelőzni. 

A Lenovo igyekszik a számítógépeit érintő sebezhetőségek javítását csomagokban kiadni, hogy ne sérülékenységenként kelljen a BIOS-frissítéseket elvégezni. Ez történt ezúttal is, hiszen a vállalat egyszerre öt biztonsági rést foltozott be:

• CVE-2021-28216: TianoCore EDK II BIOS
• CVE-2022-40134: SMI Set Bios Password SMI Handler
• CVE-2022-40135: Smart USB Protection SMI Handler
• CVE-2022-40136: SMI Handler
• CVE-2022-40137: WMI SMI Handler
• Egy American Megatrends által feltárt hiba (CVE-azonosító nélkül)

A fenti sebezhetőségek kockázatát csökkenti, hogy azok közvetlen módon, távoli károkozásokra nem adnak lehetőséget. Mindez azt jelenti, hogy a kihasználásukhoz a támadónak előbb fizikailag hozzá kell férnie a kiszemelt számítógéphez, hogy azt kompromittálni tudja. Ezt követően azonban jogosultsági szint emelésre, jogosulatlan adathozzáférésre, adatmanipulációra, valamint szolgáltatásmegtagadásra is lehetőség nyílhat. A Lenovo szerint bizonyos körülmények között a jogosulatlan kódfuttatás lehetősége sem zárható ki. 

A Lenovo mostani frissítései az alábbiakat érintik:

• Desktop 
• Desktop - All in One 
• Hyperscale 
• Lenovo Notebook 
• Smart Office 
• Storage
• ThinkAgile 
• ThinkPad 
• ThinkServer 
• ThinkStation 
• ThinkSystem

A szóban forgó sebezhetőségek a Lenovo által kiadott BIOS frissítések révén szüntethetők meg.