國際資安大廠 ESET 發現 Lenovo(聯想)手提電腦的韌體存在 3 項 UEFI 漏洞,這三個漏洞是於去年(2021)由研究人員發現,並於該年 10 月通報給原廠;含有這三個漏洞的手提電腦款式甚多,包括 Lenovo IdeaPad 3、Legion 5 Pro-16ACH6 H、Yoga Slim 9-14IYL05 等系列,全球使用者人數可能多達數百萬人。
三個漏洞中,有兩個(CVE-2021-3971 和 CVE-2021-3972)漏洞,可讓黑客關閉針對 SPI 快閃記憶體的機制,而 SPI 快閃記憶體係用以儲存 UEFI 韌體程式碼;這樣黑客即可在電腦啟動(boot)期間執行非由原始製造廠(Original Equipment Manufacturer, OEM)提供簽署的程式碼。
另一個漏洞 CVE-2021-3970 則可讓本地端的黑客,利用此漏洞提升執行權限,並且於本土端執行任意程式碼。
Lenovo(聯想)已提供新版韌體,修復上述三個漏洞外,也在官網提供所有含有上述漏洞的手提電腦型號清單;ESET 資安專家建議所有使用 Lenovo 品牌筆記型電腦的用戶,應立即核對自己使用的產品是否列名於清單內,同時立即升級至最新版本韌體,以免遭黑客利用這三種已知漏洞發動攻擊。
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
