El fabricante de productos electrónicos de consumo Lenovo lanzó el martes correcciones para contener tres fallas de seguridad en su firmware UEFI que afectan a más de 70 modelos de productos.
«Las vulnerabilidades pueden explotarse para lograr la ejecución de código arbitrario en las primeras fases del arranque de la plataforma, lo que posiblemente permita a los atacantes secuestrar el flujo de ejecución del sistema operativo y deshabilitar algunas funciones de seguridad importantes», dijo la empresa de ciberseguridad eslovaca ESET en una serie de tuits.
Registrados como CVE-2022-1890, CVE-2022-1891 y CVE-2022-1892, los tres errores se relacionan con vulnerabilidades de desbordamiento de búfer que Lenovo ha descrito como conducentes a una escalada de privilegios en los sistemas afectados. A Martin Smolár de ESET se le atribuye haber informado las fallas.
Los errores se derivan de una validación insuficiente de una variable NVRAM llamada «DataSize» en tres controladores diferentes ReadyBootDxe, SystemLoadDefaultDxe y SystemBootManagerDxe, lo que lleva a un desbordamiento de búfer que podría convertirse en un arma para lograr la ejecución del código.
Esta es la segunda vez que Lenovo se ha movido para abordar las vulnerabilidades de seguridad de UEFI desde principios de año. En abril, la empresa resolvió tres fallas (CVE-2021-3970, CVE-2021-3971 y CVE-2021-3972), también descubiertas por Smolár, que podrían haber sido objeto de abuso para implementar y ejecutar implantes de firmware.
Se recomienda encarecidamente a los usuarios de dispositivos afectados que actualicen su firmware a la última versión para mitigar posibles amenazas.
