В некоторых ноутбуках Lenovo имеются три опасные уязвимости
Уязвимости CVE-2021-3971 и CVE-2021-3972 влияют на драйверы встроенного ПО UEFI. Они изначально предназначенные для использования только в процессе производства потребительских ноутбуков Lenovo. К сожалению, они были ошибочно включены и в производственные образы BIOS без надлежащей деактивации.
Злоумышленник может активировать эти драйверы встроенного ПО, чтобы напрямую отключить защиту флэш-памяти SPI или функцию безопасной загрузки UEFI из процесса привилегированного пользовательского режима.
Третья уязвимость с номером CVE-2021-3970 допускает произвольное чтение/запись из/в памяти SMRAM, что может привести к выполнению вредоносного кода с привилегиями SMM и потенциально привести к развёртыванию флеш-имплантата SPI.
Проблема в том, что уязвимости затрагивают более сотни различных моделей ноутбуков Lenovo. Учитывая объёмы продаж компании, речь идёт о миллионах ноутбуков на руках у пользователей.
Команда ESET сообщила о своих находках в октябре. Тем не менее, Lenovo так до сих пор и не выпустила заплатки для некоторых моделей.