ESET met le doigt sur des UEFI vulnérables chez Lenovo, des correctifs disponibles
1 min
Sciences et espace
Sciences
Martin Smolár, chercheur chez ESET, a découvert trois failles présentes dans les UEFI de nombreux ordinateurs portables Lenovo, dont les gammes IdeaPad et Legion.
Exploitées, ces failles peuvent permettre des escalades locales de privilèges. L’une (CVE-2021-3970) réside dans le composant System Management Interrupt (SMI), responsable de la création de journaux d’erreurs. Les deux autres (CVE-2021-3971 et CVE-2021-3972) se situent dans la configuration NVRAM.
La liste des modèles touchés est vaste, avec plusieurs dizaines de références. La publication synchronisée des explications d’ESET et du bulletin de sécurité de Lenovo montre une entente sur la question, très probablement pour laisser au constructeur le temps de réagir. Des mises à jour pour les firmwares concernés sont donc disponibles et à installer rapidement.
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 20/04/2022 à 09h33
Bon, les gammes IdeaPad et Legion c’est plutôt du grand public, donc c’est sans doute moins grave que si ça affectait les ThinkPad.
Le 20/04/2022 à 14h54
Ouais, enfin pouvoir bypasser la protection SPI flash ou le secure boot par simple création de la bonne variable UEFI puis reboot, ça sent quand même assez fort le truc conçu pour de la production/test ou du développement qu’on ne serait pas étonné de retrouver de manière plus générale chez un constructeur donné. Juste un peu mieux caché?
Le 20/04/2022 à 14h59
C’est pour ça qu’il a fortement insisté sur la mise a jour du BIOS l’autre jour…
Le 20/04/2022 à 18h40
L’UEFI n’est pas le truc supposé améliorer la sécurité des ordis ?
Le 20/04/2022 à 18h57
Cette marque… Entre les bios qui verrouillent le matos branché et les rootkit on voit que la recette reste la même. Ne jamais acheter du Lenovo
Le 21/04/2022 à 08h54
oui, je sais pas pourquoi on achète encore du Lenovo, ils ont été pris 3 fois en flag sur des vulnérabilités qu’ils avaient volontairement introduite dont une sur le bios même.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?