Notebookcheck Logo

Plus de 100 modèles d'ordinateurs portables Lenovo affectés par les vulnérabilités du BIOS UEFI

Plus d'un million d'ordinateurs portables Lenovo sont concernés par les vulnérabilités du BIOS UEFI. (Image Source : Gettotext)
Plus d'un million d'ordinateurs portables Lenovo sont concernés par les vulnérabilités du BIOS UEFI. (Image Source : Gettotext)
Selon les estimations, plus d'un million d'appareils Lenovo présentent des vulnérabilités UEFI BIOS de menace moyenne. Des correctifs sont déjà disponibles pour la plupart des modèles, mais certains appareils ne recevront pas le correctif avant le 10 mai.

La société de sécurité Internet ESET a récemment identifié une série de problèmes liés à l UEFI BIOS qui affectent plus de 100 modèles d'ordinateurs portables Lenovo. Selon les estimations de Lenovo, plus d'un million d'appareils sont concernés et doivent recevoir un correctif immédiatement, car des hackers pourraient ajouter un code malveillant difficile à supprimer, voire indétectable, dans le micrologiciel.

Voici les trois vulnérabilités avec une brève description de Lenovo

  • CVE-2021-3970 - une vulnérabilité potentielle avec le LenovoVariable SMI Handler due à une validation insuffisante dans certains modèles d'ordinateurs portables Lenovo, peut permettre à un attaquant disposant d'un accès local et de privilèges élevés d'exécuter un code arbitraire.
  • CVE-2021-3971 - une vulnérabilité potentielle activée par un pilote utilisé au cours d'anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public, qui a été inclus par erreur dans l'image du BIOS, pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du firmware en modifiant une variable NVRAM.
  • CVE-2021-3972 - une vulnérabilité potentielle activée par un pilote utilisé pendant le processus de fabrication de certains ordinateurs portables Lenovo, qui n'a pas été désactivé par erreur, peut permettre à un attaquant disposant de privilèges élevés de modifier les paramètres de démarrage sécurisé en modifiant une variable NVRAM.

Ars Technica explique que les pirates peuvent exploiter ce type de vulnérabilités pour désactiver les protections, notamment le démarrage sécurisé UEFI, les bits du registre de contrôle du BIOS et le registre de plage protégée, qui sont intégrés à l'interface périphérique série (SPI) et conçus pour empêcher toute modification non autorisée du micrologiciel qu'elle exécute. Bien que les attaques ne puissent être déclenchées que par des "pirates avancés", le contournement de l'interface SPI suffit à lui seul à élever la gravité de la menace à moyenne.

Lenovo fournit une liste des modèles concernés. La plupart d'entre eux ont déjà des correctifs prêts à être installés, mais certains modèles ne recevront un correctif que le 10 mai.

 

Achetez le Lenovo Yoga 7i convertible 2021 sur Amazon

Please share our article, every link counts!
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2022 04 > Plus de 100 modèles d'ordinateurs portables Lenovo affectés par les vulnérabilités du BIOS UEFI
Bogdan Solca, 2022-04-21 (Update: 2022-04-21)