Çinli bilgisayar üreticisi Lenovo, yüzlerce aygıtı etkileyen, yüksek kıymet derecesine sahip birkaç BIOS güvenlik açığı için güvenlik bülteni yayınladı. Bahsi geçen güvenlik açıkları masaüstü bilgisayarlar, All in One sistemler, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation ve ThinkSystem dahil olmak üzere sayısız modeli etkiliyor.
Bahsi geçen kusurlar, bilgilerin ifşa edilmesine, ayrıcalıkların yükseltilmesine ve makul şartlar altında rastgele kod yürütülmesine neden olabiliyor. Lenovo’nun resmi güvenlik dökümanlarına nazaran güvenlik açıkları şu halde:
- CVE-2021-28216: TianoCore EDK II BIOS’ta (UEFI’nin referans uygulaması) bir saldırganın ayrıcalıkları yükseltmesine ve rastgele kod yürütmesine müsaade veren sabit işaretçi yanlışı.
- CVE-2022-40134: SMI Set Bios Password SMI Handler’da bir saldırganın SMM belleği okumasına müsaade veren bilgi sızıntısı yanlışı.
- CVE-2022-40135: Smart USB Protection SMI Handler’da bir saldırganın SMM belleği okumasına müsaade veren bilgi sızıntısı güvenlik açığı.
- CVE-2022-40136: WMI üzerinden platform ayarlarını yapılandırmak için kullanılan SMI Handler’da, bir saldırganın SMM belleği okumasını sağlayan bilgi sızıntısı yanlışı.
- CVE-2022-40137: WMI SMI Handler’da arabellek taşmasının bir saldırganın rastgele kod yürütmesine imkan tanıması.
- Amerikan Megatrends BIOS güvenlik geliştirmeleri.
SMM (Ring -2), düşük düzeyli donanım denetimi ve güç idaresi üzere sistem genelinde fonksiyonlar sağlayan UEFI sabit yazılımının bir modülü. SMM’ye erişim sağlandığında ise işletim sistemine, RAM’e ve depolama kaynaklarına erişim sağlanabiliyor.
Lenovo, etkilenen eserler için son BIOS güncellemeleriyle problemleri giderdiğini belirtiyor. Yamaların birçok Temmuz ve Ağustos 2022’de kullanıma sunulmaya başladı. Eylül ve Ekim ayının sonunda ek yamalar bekleniyor. Lakin az sayıda model içeren listedeki eserler güncellemeleri gelecek yıl alacak.
Etkilenen aygıtların tam listesi ve güvenlik açığını gideren BIOS sürümleri, bu kontakta yer alan güvenlik bülteninde mevcut.