Lenovo corrige 5 failles dans le BIOS de ses ordinateurs et de ses serveurs !
jeudi 15 septembre 2022 à 09:16Lenovo a publié une mise à jour BIOS pour de nombreux modèles de PC de bureau, de PC portables, mais aussi des serveurs, dans le but de corriger plusieurs vulnérabilités critiques. Faisons le point.
Dans un bulletin de sécurité, Lenovo évoque 5 vulnérabilités importantes qui affectent le BIOS de certains de ses modèles. Si l'on regarde la liste des gammes de PC touchées, on peut voir qu'il y a plusieurs centaines de modèles, dont des ordinateurs de bureau, des ordinateurs portables, des serveurs, mais aussi du All In One : IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem, IdeaPad, Yoga, ThinkBook, etc.
Voici la liste des vulnérabilités faisant l'objet de ce nouveau bulletin de sécurité :
- CVE-2021-28216 : Défaut de pointeur fixe dans le BIOS TianoCore EDK II permettant à un attaquant d'élever ses privilèges et d'exécuter du code arbitraire.
- CVE-2022-40134 : Fuite d'informations dans le gestionnaire SMI Set Bios Password SMI Handler, permettant à un attaquant de lire la mémoire SMM.
- CVE-2022-40135 : Fuite d'informations dans le SMI Handler Smart USB Protection, permettant à un attaquant de lire la mémoire du SMM.
- CVE-2022-40136 : Fuite d'informations dans le SMI Handler utilisé pour configurer les paramètres de la plate-forme via WMI, permettant à un attaquant de lire la mémoire SMM.
- CVE-2022-40137 : Dépassement de tampon dans le SMI Handler de WMI, permettant à un attaquant d'exécuter du code arbitraire.
L'exploitation de ces failles peut conduire à la divulgation d'informations, à l'élévation de privilèges, au déni de service et, dans certains cas, à l'exécution de code arbitraire sur la machine vulnérable.
Comment se protéger contre ces vulnérabilités ?
La bonne nouvelle, c'est que Lenovo a corrigé les vulnérabilités dans les dernières mises à jour BIOS pour la majorité des produits concernés. Certaines mises à jour sont disponibles depuis juillet et août 2022, tandis que d'autres vont arriver en septembre et octobre.
Pour vérifier si une mise à jour est disponible pour un modèle spécifique, il faut se référer au bulletin de sécurité de Lenovo où il y a une liste complète, avec les liens adéquats.
The post Lenovo corrige 5 failles dans le BIOS de ses ordinateurs et de ses serveurs ! first appeared on IT-Connect.