【锚思科技讯】据The Hacker News报道,联想笔记本电脑存在三个高影响的统一可扩展固件接口安全漏洞,分别是CVE-2021-3970、CVE-2021-3971和CVE-2021-3972。
其中,CVE-2021-3971和CVE-2021-3972是在联想消费类笔记本的制造过程中使用驱动程序存在的潜在漏洞,在制作BIOS的时候被留在了其中,且没有被停用。
攻击者可以通过它们在笔记本电脑运行期间从特权用户模式进程中禁用SPI闪存保护或UEFI安全启动功能。
CVE-2021-3970则是由于某些联想笔记本型号的验证工作不完善,LenovoVariable SMI Handler存在潜在漏洞,可能允许具有本地访问权限和高权限的攻击者执行任意代码。
这些威胁是在操作系统获得控制权之前,也就是PC启动过程的早期启动的。因此,攻击者将能够对抗任何基于操作系统内的安全措施。
联想已经针对这些漏洞发布了安全补丁,有必要升级一下。