.jpg "Lenovo")
طرحت شركة Lenovo لصناعة الإلكترونيات الاستهلاكية ، الثلاثاء ، إصلاحات لاحتواء ثلاثة ثغرات أمنية في البرامج الثابتة UEFI التي تؤثر على أكثر من 70 نموذجًا من المنتجات.
قالت شركة الأمن السيبراني السلوفاكية ESET في سلسلة من التغريدات : "يمكن استغلال الثغرات الأمنية لتحقيق تنفيذ تعسفي للتعليمات البرمجية في المراحل الأولى من تمهيد النظام الأساسي ، مما قد يسمح للمهاجمين باختطاف تدفق تنفيذ نظام التشغيل وتعطيل بعض ميزات الأمان المهمة" .
.webp "lenovo")
تم تتبعها كـ CVE-2022-1890 و CVE-2022-1891 و CVE-2022-1892 ، وتتعلق جميع الأخطاء الثلاثة بنقاط ضعف تجاوز سعة المخزن المؤقت ( buffer overflow ) التي وصفتها Lenovo بأنها تؤدي إلى تصعيد الامتيازات على الأنظمة المتأثرة. مارتن سمولار(Martin Smolár) من ESET كان له الفضل في الإبلاغ عن العيوب.
تنبع الأخطاء من عدم كفاية التحقق من صحة متغير NVRAM المسمى "DataSize" في ثلاثة برامج تشغيل مختلفة ReadyBootDxe و SystemLoadDefaultDxe و SystemBootManagerDxe ، مما يؤدي إلى تجاوز سعة المخزن المؤقت التي يمكن استغلالها لتحقيق تنفيذ التعليمات البرمجية.
هذه هي المرة الثانية التي تتحرك فيها Lenovo لمعالجة الثغرات الأمنية UEFI منذ بداية العام. في أبريل ، تمكنت الشركة من حل ثلاثة عيوب (CVE-2021-3970 و CVE-2021-3971 و CVE-2021-3972) - اكتشفها أيضًا Smolár - والتي كان من الممكن إساءة استخدامها لنشر وتنفيذ عمليات زرع البرامج الثابتة.
يوصى بشدة مستخدمي الأجهزة المتأثرة بتحديث البرامج الثابتة الخاصة بهم إلى أحدث إصدار للتخفيف من التهديدات المحتملة.