Lenovo IdeaCentre ve Yoga Bios kusurları saldırganların keyfi kod çalıştırmasına izin veriyor


Güvenlik araştırmacıları, Lenovo’nun IdeaCentre ve yoga hepsi bir arada masaüstü bilgisayarlarını etkileyen kritik BIOS güvenlik açıkları keşfettiler, bu da ayrıcalıklı saldırganların keyfi kod yürütmesine ve ürün güvenliğini ürün yazılımı düzeyinde potansiyel olarak tehlikeye atmasına izin verebilir.

Popüler masaüstü modellerinde keşfedilen kritik güvenlik kusurları

Lenovo Güvenlik Danışmanlığı Len-2013 ve Insyde Güvenlik Danışmanlığı INSYDE-SA-SA-2025007 aracılığıyla açıklanan güvenlik açıkları, birkaç Lenovo masaüstü ürününde kullanılan İnsydeh2O BIOS ürün yazılımını etkiler.

Kusurlar Binarly Araştırma Ekibi tarafından keşfedildi ve 29 Temmuz 2025’te koordineli açıklama yoluyla bildirildi.

CVSS skorları 6.0 ila 8.2 arasında değişen ve orta ila yüksek şiddet seviyelerini gösteren altı farklı yaygın güvenlik açıkları ve maruziyet (CVES) tanımlanmıştır.

En kritik güvenlik açıkları, hemen dikkat gerektiren önemli güvenlik risklerini temsil eden 8.2 CVSS puanı taşır.

CVE kimliği CVSS Puanı Tanım CWE sınıflandırması
CVE-2025-4421 8.2 Gefismmcprotocol’de SMM Bellek Yolsuzluğu CWE-787: Sınır dışı yazma
CVE-2025-4422 8.2 Efipcdprotocol’de SMM Bellek Yolsuzluğu CWE-787: Sınır dışı yazma
CVE-2025-4423 8.2 SetUpautomationsmm’de keyfi kod yürütme CWE-119: Bellek arabellek işlemleri
CVE-2025-4424 6.0 Hayalsiz SMMSetVariable Aramaları CWE-20: Yanlış giriş doğrulaması
CVE-2025-4425 8.2 SMI işleyicisinde istif taşması CWE-121: Yığın Tabanlı Tampon Taşma
CVE-2025-4426 6.0 Smram Bellek İçeriği Açıklama CWE-200: Bilgi maruziyeti

Güvenlik açıkları öncelikle X86 işlemcilerde kritik sistem işlevlerini işleyen son derece ayrıcalıklı bir çalışma modu olan Sistem Yönetimi Modunu (SMM) hedeflemektedir.

Başarılı sömürü, yerel idari ayrıcalıklara sahip saldırganların hassas SMRAM içeriğini okumasına veya sistem düzeyinde ayrıcalıklarla keyfi kod yürütmesine izin verebilir.

Etkilenen ürünler ve mevcut düzeltmeler

Güvenlik kusurları, IdeaCentre AIO 3 Serisi (24Ar9 ve 27arR9 modelleri) ve çeşitli yoga AIO modelleri (27iAH10, 32ill10 ve 9 32IRH8) dahil olmak üzere birden fazla Lenovo masaüstü modelini etkiler.

Lenovo, minimum sabit sürüm O6BKT1AA’dır.

Yoga AIO modelleri için, BIOS güncellemelerinin Eylül ve Kasım 2025 arasında yayınlanması planlanmaktadır ve her model için belirli hedef kullanılabilirlik tarihleri sunulmaktadır.

Lenovo, etkilenen sistemlerin kullanıcılarının BIOS ürün yazılımlarını hemen güvenlik danışmanlığında belirtilen sürümlere güncellemelerini şiddetle tavsiye eder.

Kullanıcılar, belirli ürün modellerini arayarak ve sürücüler ve yazılım bölümüne erişerek Lenovo’nun resmi destek web sitesi aracılığıyla güncellemeleri indirebilir.

Şirket ayrıca hem bireysel kullanıcılar hem de kurumsal ortamlar için yama işlemini kolaylaştırmak için otomatik güncelleme yönetimi araçları sunmaktadır.

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link