Lenovo corrige 5 failles dans le BIOS de ses ordinateurs et de ses serveurs !

Lenovo a publié une mise à jour BIOS pour de nombreux modèles de PC de bureau, de PC portables, mais aussi des serveurs, dans le but de corriger plusieurs vulnérabilités critiques. Faisons le point.

Dans un bulletin de sécurité, Lenovo évoque 5 vulnérabilités importantes qui affectent le BIOS de certains de ses modèles. Si l'on regarde la liste des gammes de PC touchées, on peut voir qu'il y a plusieurs centaines de modèles, dont des ordinateurs de bureau, des ordinateurs portables, des serveurs, mais aussi du All In One : IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem, IdeaPad, Yoga, ThinkBook, etc.

Voici la liste des vulnérabilités faisant l'objet de ce nouveau bulletin de sécurité :

  • CVE-2021-28216 : Défaut de pointeur fixe dans le BIOS TianoCore EDK II permettant à un attaquant d'élever ses privilèges et d'exécuter du code arbitraire.
  • CVE-2022-40134 : Fuite d'informations dans le gestionnaire SMI Set Bios Password SMI Handler, permettant à un attaquant de lire la mémoire SMM.
  • CVE-2022-40135 : Fuite d'informations dans le SMI Handler Smart USB Protection, permettant à un attaquant de lire la mémoire du SMM.
  • CVE-2022-40136 : Fuite d'informations dans le SMI Handler utilisé pour configurer les paramètres de la plate-forme via WMI, permettant à un attaquant de lire la mémoire SMM.
  • CVE-2022-40137 : Dépassement de tampon dans le SMI Handler de WMI, permettant à un attaquant d'exécuter du code arbitraire.

L'exploitation de ces failles peut conduire à la divulgation d'informations, à l'élévation de privilèges, au déni de service et, dans certains cas, à l'exécution de code arbitraire sur la machine vulnérable.

Comment se protéger contre ces vulnérabilités ?

La bonne nouvelle, c'est que Lenovo a corrigé les vulnérabilités dans les dernières mises à jour BIOS pour la majorité des produits concernés. Certaines mises à jour sont disponibles depuis juillet et août 2022, tandis que d'autres vont arriver en septembre et octobre.

Pour vérifier si une mise à jour est disponible pour un modèle spécifique, il faut se référer au bulletin de sécurité de Lenovo où il y a une liste complète, avec les liens adéquats.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.