韌體安全和供應鏈風險管理公司 Binarly 週二報告稱,聯想設備受到多個漏洞的影響,其中包括可能允許攻擊者在目標系統上部署持久植入程式的漏洞。 Binarly 在聯想一體機中總共發現了六個缺陷,特別是系統管理模式(SMM),這是一種為低階系統管理設計的操作模式。由於 SMM 在作業系統之前加載並在重新安裝後仍然存在,因此對於想要繞過安全啟動(旨在確保僅在啟動時加載受信任軟體的安全功能)並部署隱密惡意軟體的威脅行為者來說,它可能成為完美的目標。 這些漏洞的 CVE 識別碼為 CVE-2025-4421 至 CVE-2025-4426。其中四個漏洞的嚴重性評級為“高”,其餘漏洞的嚴重性評級為“中等”。高風險漏洞是記憶體損壞問題,可能導致 SMM 中的權限提升和任意程式碼執行。中危漏洞可能導致資訊外洩和安全機制繞過。 有權存取目標聯想設備的威脅行為者可以利用這些漏洞繞過 SPI 快閃記憶體保護措施和安全啟動,部署在重新安裝作業系統後仍能存活的植入程序,甚至破壞虛擬機器管理程序隔離。Binarly 於 4 月向聯想報告了這些漏洞,聯想在 6 月確認了這項發現。目前,該公司已發布了補丁和緩解措施。 資料來源:https://www.securityweek.com/lenovo-firmware-vulnerabilities-allow-persistent-implant-deployment/