联想BIOS固件存在多个安全漏洞

 　　安全公司 ESET 最近公布了联想笔记本电脑 BIOS 固件中的最新安全漏洞。在漏洞公布前，联想已提前通知修复该漏洞。

　　根据一份安全公告，联想消费类笔记本电脑中使用的固件存在一个漏洞，允许攻击者通过更改 NVRAM 变量来禁用安全启动。

　　禁用UEFI Secure Boot后，攻击者可以通过各类恶意软件发起攻击。考虑到联想设备庞大的用户群，威胁非常大。

　　目前，联想已推出新版固件修复该漏洞，这也是联想2022年至今出现的第三个BIOS或UEFI固件漏洞。

​​​​​​​

　　漏洞如下——

　　• CVE-2022-3430：某些消费类 Lenovo Notebook 设备上的 WMI 安装驱动程序中存在潜在漏洞，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

　　• CVE-2022-3431：某些消费者联想笔记本设备在制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞未被错误地停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

　　• CVE-2022-3432：在 IdeaPad Y700-14ISK 的制造过程中使用的驱动程序中存在一个潜在漏洞，该漏洞未被错误地停用，可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

　　要下载下面为您的产品指定的版本，请执行以下步骤：

　　导航到您的产品的驱动程序和软件支持站点：

　　• 联想产品(全球销售，中国除外)： https: //support.lenovo.com/

　　• 联想产品(在中国销售)： https ://newsupport.lenovo.com.cn/

　　• IBM 品牌的 System x 遗留产品： https ://www.ibm.com/support/fixcentral/

　　1. 按名称或机器类型搜索您的产品。

　　2. 单击左侧菜单面板上的驱动程序和软件。

　　3. 单击“手动更新”以按组件类型浏览。

　　4. 将下方适用产品表中适用于您的产品的最低修复版本与支持站点上发布的最新版本进行比较。