Lenovo แพตช์ 3 ช่องโหว่ระดับ Firmware กระทบผลิตภัณฑ์นับร้อยโมเดล

Lenovo ได้ออกแพตช์อุดช่องโหว่ระดับ Firmware 3 รายการ ซึ่งกระทบกับผลิตภัณฑ์นับร้อยรายการ และมีบางตัวที่คาดว่าจะไม่ได้รับการอัปเดตเพราะหมดอายุแล้ว

ช่องโหว่ 3 รายการคือ

1.) CVE-2021-3972 : เป็นส่วนไดร์ฟเวอร์ที่ควรจำกัดแค่ในกระบวนการผลิตเท่านั้น แต่ดันหลงเหลือใน production โดยแฮ็กเกอร์สามารถใช้เพื่อการปิด Secure Boot อนุมัติให้รันไดร์ฟเวอร์หรือแอปอันตราย ณ ระหว่างขั้นตอนบูตได้

2.) CVE-2021-3971 : เป็นช่องโหว่ที่แฮ็กเกอร์สามารถเข้าไปปิดการป้องกันการเขียนไปยัง SPI Flash ซึ่งก็คือหน่วยความจำของ Firmware กล่าวคือ deploy โค้ดอันตรายตรงๆไปยังพื้นที่นี้ได้เลย

3.) CVE-2021-3970 : เกิดขึ้นเพราะตรวจสอบ SW SMI Handler Function ได้ไม่ดีพอทำให้แฮ็กเกอร์ระดับ Local สามารถยกระดับสิทธิ์ได้

Lenovo ให้เครดิตการค้นพบนี้แก่ทีม ESET ที่รายงานมาแจ้งตั้งแต่ปลายปีก่อน โดย Lenovo เองก็ได้ออกแพตช์ให้ในผลิตภัณฑ์หลายโมเดลแล้ว โดยคาดว่า 10 พฤษภาคมเดือนหน้าจะได้แพตช์ครบในรุ่นที่เหลือ แต่ก็ยอมรับว่าบางรุ่นที่หมดอายุไปแล้วก็คงถูกทิ้งไว้

ที่มา : https://www.securityweek.com/firmware-flaws-allow-disabling-secure-boot-lenovo-laptops