Lenovo lanzó correcciones de seguridad para abordar tres vulnerabilidades que residen en el firmware UEFI enviado con más de 70 modelos de productos, incluidos varios modelos de ThinkBook. ESET Research descubrió y reportó al fabricante estas tres vulnerabilidades.
CVE-2022-1890: Se identificó un desbordamiento de búfer en el controlador ReadyBootDxe en algunos productos portátiles Lenovo que puede permitir que un atacante con privilegios locales ejecute código arbitrario.
CVE-2022-1891: Se identificó un desbordamiento de búfer en el controlador SystemLoadDefaultDxe en algunos productos portátiles Lenovo que puede permitir que un atacante con privilegios locales ejecute código arbitrario.
CVE-2022-1892: Se identificó un desbordamiento de búfer en el controlador SystemBootManagerDxe en algunos productos portátiles Lenovo que puede permitir que un atacante con privilegios locales ejecute código arbitrario.
Impacto potencial: Escalada de privilegios
Gravedad: Media
Mitigación
Se recomienda a los propietarios de los dispositivos afectados que actualicen a la última versión de firmware. Para descargar la versión especificada para su producto a continuación, siga estos pasos: Vaya al sitio de soporte de controladores y software para su producto:
Busque su producto por nombre o tipo de máquina.
Haga clic en Controladores y software en el panel de menú izquierdo.
Haga clic en Actualización manual para buscar por tipo de componente.
Compare la versión de corrección mínima para su producto de la tabla de productos aplicable a continuación con la última versión publicada en el sitio de soporte.
Lista de Modelos afectados
