Çinli bilgisayar üreticisi Lenovo, yüzlerce cihazı etkileyen, yüksek önem derecesine sahip birkaç BIOS güvenlik açığı için güvenlik bülteni yayınladı. Bahsi geçen güvenlik açıkları masaüstü bilgisayarlar, All in One sistemler, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation ve ThinkSystem dahil olmak üzere sayısız modeli etkiliyor.
Bahsi geçen kusurlar, bilgilerin ifşa edilmesine, ayrıcalıkların yükseltilmesine ve belirli koşullar altında rastgele kod yürütülmesine neden olabiliyor. Lenovo’nun resmi güvenlik dökümanlarına göre güvenlik açıkları şu şekilde:
- CVE-2021-28216: TianoCore EDK II BIOS’ta (UEFI’nin referans uygulaması) bir saldırganın ayrıcalıkları yükseltmesine ve rastgele kod yürütmesine izin veren sabit işaretçi hatası.
- CVE-2022-40134: SMI Set Bios Password SMI Handler’da bir saldırganın SMM belleği okumasına izin veren bilgi sızıntısı hatası.
- CVE-2022-40135: Smart USB Protection SMI Handler’da bir saldırganın SMM belleği okumasına izin veren bilgi sızıntısı güvenlik açığı.
- CVE-2022-40136: WMI üzerinden platform ayarlarını yapılandırmak için kullanılan SMI Handler’da, bir saldırganın SMM belleği okumasını sağlayan bilgi sızıntısı hatası.
- CVE-2022-40137: WMI SMI Handler’da arabellek taşmasının bir saldırganın rastgele kod yürütmesine olanak tanıması.
- Amerikan Megatrends BIOS güvenlik geliştirmeleri.
SMM (Ring -2), düşük seviyeli donanım kontrolü ve güç yönetimi gibi sistem genelinde işlevler sağlayan UEFI sabit yazılımının bir parçası. SMM’ye erişim sağlandığında ise işletim sistemine, RAM’e ve depolama kaynaklarına erişim sağlanabiliyor.
Önlemler
Lenovo, etkilenen ürünler için son BIOS güncellemeleriyle sorunları giderdiğini belirtiyor. Yamaların çoğu Temmuz ve Ağustos 2022’de kullanıma sunulmaya başladı. Eylül ve Ekim ayının sonunda ek yamalar bekleniyor. Ancak az sayıda model içeren listedeki ürünler güncellemeleri gelecek yıl alacak.
Etkilenen cihazların tam listesi ve güvenlik açığını gideren BIOS sürümleri, bu bağlantıda yer alan güvenlik bülteninde mevcut.
