Lenovo ha pubblicato informazioni su
tre vulnerabilità che hanno impatto sul BIOS di due computer desktop e di circa 60 modelli di notebook. La prima falla è monitorata con la sigla CVE-2021-3452 e interessa decine di modelli ThinkPad. Influisce sulla funzione di callback SMI di arresto del sistema e potrebbe essere abusata da un attaccante locale che ha già privilegi elevati sul dispositivo, per eseguire codice arbitrario. Nell’
advisory, Lenovo rassicura che sta lavorando agli aggiornamenti del BIOS di oltre 32 modelli di ThinkPad; le patch saranno disponibili a partire dal 28 luglio.
Altri sistemi Desktop Lenovo Notebook e ThinkPad esenti dalla falla appena descritta sono invece interessati da quella tracciata con la sigla CVE-2021-3453. In sostanza, hanno
moduli BIOS non protetti da Intel Boot Guard e potrebbero consentire a un attaccante con accesso fisico di scrivere nella memoria flash SPI.
In questo caso, Lenovo ha già pubblicato gli aggiornamenti del BIOS per alcuni dei dispositivi ThinkPad interessati. Sta ancora lavorando per pubblicare le patch per 13 modelli di notebook. Sul fronte desktop, invece, le correzioni dovrebbero essere disponibili a settembre.
Ultima ma non meno importante, la vulnerabilità monitorata come CVE-2021-3614 interessa 21 modelli di Notebook Lenovo e potrebbe consentire
l’escalation dei privilegi a un attaccante con accesso fisico in determinate condizioni, durante un aggiornamento del BIOS eseguito da Lenovo Vantage. Al momento sono disponibili le patch per due modelli; quella per un terzo modello dovrebbe arrivare questa settimana.
Tutti i modelli interessati sono elencati nell’
advisoy ufficiale. Anche se il produttore non riporta il punteggio CVSS delle tre vulnerabilità, il fatto che in tutti i casi l’attaccante debba avere accesso fisico ai prodotti lascia intendere che i rischi sono limitati.