Güvenlik araştırmacıları, Lenovo’nun IdeaCentre ve yoga hepsi bir arada masaüstü bilgisayarlarını etkileyen kritik BIOS güvenlik açıkları keşfettiler, bu da ayrıcalıklı saldırganların keyfi kod yürütmesine ve ürün güvenliğini ürün yazılımı düzeyinde potansiyel olarak tehlikeye atmasına izin verebilir.
Popüler masaüstü modellerinde keşfedilen kritik güvenlik kusurları
Lenovo Güvenlik Danışmanlığı Len-2013 ve Insyde Güvenlik Danışmanlığı INSYDE-SA-SA-2025007 aracılığıyla açıklanan güvenlik açıkları, birkaç Lenovo masaüstü ürününde kullanılan İnsydeh2O BIOS ürün yazılımını etkiler.
Kusurlar Binarly Araştırma Ekibi tarafından keşfedildi ve 29 Temmuz 2025’te koordineli açıklama yoluyla bildirildi.
CVSS skorları 6.0 ila 8.2 arasında değişen ve orta ila yüksek şiddet seviyelerini gösteren altı farklı yaygın güvenlik açıkları ve maruziyet (CVES) tanımlanmıştır.
En kritik güvenlik açıkları, hemen dikkat gerektiren önemli güvenlik risklerini temsil eden 8.2 CVSS puanı taşır.
| CVE kimliği | CVSS Puanı | Tanım | CWE sınıflandırması |
| CVE-2025-4421 | 8.2 | Gefismmcprotocol’de SMM Bellek Yolsuzluğu | CWE-787: Sınır dışı yazma |
| CVE-2025-4422 | 8.2 | Efipcdprotocol’de SMM Bellek Yolsuzluğu | CWE-787: Sınır dışı yazma |
| CVE-2025-4423 | 8.2 | SetUpautomationsmm’de keyfi kod yürütme | CWE-119: Bellek arabellek işlemleri |
| CVE-2025-4424 | 6.0 | Hayalsiz SMMSetVariable Aramaları | CWE-20: Yanlış giriş doğrulaması |
| CVE-2025-4425 | 8.2 | SMI işleyicisinde istif taşması | CWE-121: Yığın Tabanlı Tampon Taşma |
| CVE-2025-4426 | 6.0 | Smram Bellek İçeriği Açıklama | CWE-200: Bilgi maruziyeti |
Güvenlik açıkları öncelikle X86 işlemcilerde kritik sistem işlevlerini işleyen son derece ayrıcalıklı bir çalışma modu olan Sistem Yönetimi Modunu (SMM) hedeflemektedir.
Başarılı sömürü, yerel idari ayrıcalıklara sahip saldırganların hassas SMRAM içeriğini okumasına veya sistem düzeyinde ayrıcalıklarla keyfi kod yürütmesine izin verebilir.
Etkilenen ürünler ve mevcut düzeltmeler
Güvenlik kusurları, IdeaCentre AIO 3 Serisi (24Ar9 ve 27arR9 modelleri) ve çeşitli yoga AIO modelleri (27iAH10, 32ill10 ve 9 32IRH8) dahil olmak üzere birden fazla Lenovo masaüstü modelini etkiler.
Lenovo, minimum sabit sürüm O6BKT1AA’dır.
Yoga AIO modelleri için, BIOS güncellemelerinin Eylül ve Kasım 2025 arasında yayınlanması planlanmaktadır ve her model için belirli hedef kullanılabilirlik tarihleri sunulmaktadır.
Lenovo, etkilenen sistemlerin kullanıcılarının BIOS ürün yazılımlarını hemen güvenlik danışmanlığında belirtilen sürümlere güncellemelerini şiddetle tavsiye eder.
Kullanıcılar, belirli ürün modellerini arayarak ve sürücüler ve yazılım bölümüne erişerek Lenovo’nun resmi destek web sitesi aracılığıyla güncellemeleri indirebilir.
Şirket ayrıca hem bireysel kullanıcılar hem de kurumsal ortamlar için yama işlemini kolaylaştırmak için otomatik güncelleme yönetimi araçları sunmaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!