Martin Smolár, chercheur chez ESET, a découvert trois failles présentes dans les UEFI de nombreux ordinateurs portables Lenovo, dont les gammes IdeaPad et Legion.
Exploitées, ces failles peuvent permettre des escalades locales de privilèges. L’une (CVE-2021-3970) réside dans le composant System Management Interrupt (SMI), responsable de la création de journaux d’erreurs. Les deux autres (CVE-2021-3971 et CVE-2021-3972) se situent dans la configuration NVRAM.
La liste des modèles touchés est vaste, avec plusieurs dizaines de références. La publication synchronisée des explications d’ESET et du bulletin de sécurité de Lenovo montre une entente sur la question, très probablement pour laisser au constructeur le temps de réagir. Des mises à jour pour les firmwares concernés sont donc disponibles et à installer rapidement.
Commentaires (6)
#1
Bon, les gammes IdeaPad et Legion c’est plutôt du grand public, donc c’est sans doute moins grave que si ça affectait les ThinkPad.
#2
Ouais, enfin pouvoir bypasser la protection SPI flash ou le secure boot par simple création de la bonne variable UEFI puis reboot, ça sent quand même assez fort le truc conçu pour de la production/test ou du développement qu’on ne serait pas étonné de retrouver de manière plus générale chez un constructeur donné. Juste un peu mieux caché?
#3
C’est pour ça qu’il a fortement insisté sur la mise a jour du BIOS l’autre jour…
#4
L’UEFI n’est pas le truc supposé améliorer la sécurité des ordis ?
#5
Cette marque… Entre les bios qui verrouillent le matos branché et les rootkit on voit que la recette reste la même. Ne jamais acheter du Lenovo
#5.1
oui, je sais pas pourquoi on achète encore du Lenovo, ils ont été pris 3 fois en flag sur des vulnérabilités qu’ils avaient volontairement introduite dont une sur le bios même.