Salı günü tüketici elektroniği üreticisi Lenovo kullanıma sunulan düzeltmeler UEFI belleniminde 70’in üzerinde ürün modelini etkileyen üç güvenlik açığı içermesi.
Slovak siber güvenlik firması ESET, “Güvenlik açıklarından platform önyüklemesinin erken aşamalarında rastgele kod yürütülmesini sağlamak için yararlanılabilir, bu da muhtemelen saldırganların işletim sistemi yürütme akışını ele geçirmesine ve bazı önemli güvenlik özelliklerini devre dışı bırakmasına olanak tanır.” söz konusu bir dizi tweette.
CVE-2022-1890, CVE-2022-1891 ve CVE-2022-1892 olarak izlenen üç hatanın tümü arabellek taşması güvenlik açıkları Lenovo tarafından, etkilenen sistemlerde ayrıcalık yükselmesine yol açtığı belirtilenler. ESET’ten Martin Smolár, kusurları bildirme konusunda itibar kazandı.
Hatalar, ReadyBootDxe, SystemLoadDefaultDxe ve SystemBootManagerDxe adlı üç farklı sürücüde “DataSize” adlı bir NVRAM değişkeninin yetersiz doğrulamasından kaynaklanır ve kod yürütmeyi sağlamak için silah olarak kullanılabilen bir arabellek taşmasına neden olur.
Bu, Lenovo’nun yılın başından bu yana UEFI güvenlik açıklarını ele almak için ikinci kez geçiş yapmasıdır. Nisan ayında şirket çözüldü üç kusur (CVE-2021-3970, CVE-2021-3971 ve CVE-2021-3972) – yine Smolár tarafından keşfedildi – bu, bellenim implantlarını dağıtmak ve yürütmek için kötüye kullanılmış olabilir.
Etkilenen cihazların kullanıcılarının, olası tehditleri azaltmak için donanım yazılımlarını en son sürüme güncellemeleri önemle tavsiye edilir.