设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

联想 5 月已发补丁,Phoenix UEFI 固件漏洞披露:影响数百款英特尔 PC CPU 型号

2024/6/21 10:15:28 来源:IT之家 作者:故渊 责编:故渊
感谢IT之家网友 VrianCao 的线索投递!

IT之家 6 月 21 日消息,Phoenix SecureCore UEFI 固件被曝安全漏洞,影响数百款英特尔 CPU 设备,联想目前已经发布了新的固件更新修复该漏洞。

IT之家从报道中获悉,该漏洞追踪编号为 CVE-2024-0762,被称为“UEFICANHAZBUFFEROVERFLOW”,存在于 Phoenix UEFI 固件中的可信平台模块(TPM)配置中,是一个缓冲区溢出漏洞,可被利用在易受攻击的设备上执行任意代码。

该漏洞由 Eclypsium 发现,他们在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代设备上发现了该漏洞,随后向 Phoenix 公司确认,影响以下英特尔 CPU 的  SecureCore 固件:

  • Alder Lake

  • Coffee Lake

  • Comet Lake

  • Ice Lake

  • Jasper Lake

  • Kaby Lake

  • Meteor Lake

  • Raptor Lake

  • Rocket Lake

  • Tiger Lake

由于使用该固件的英特尔 CPU 数量众多,该漏洞有可能影响联想、戴尔、宏碁和惠普的数百款机型。

Eclypsium 称,他们发现的漏洞是 Phoenix SecureCore 固件的系统管理模式(SMM)子系统中的缓冲区溢出,允许攻击者覆盖相邻内存。

如果内存被正确的数据覆盖,攻击者就有可能提升权限并获得固件中的代码执行能力,从而安装引导工具包恶意软件。

Phoenix 公司于 4 月发布警告,联想于 5 月发布新固件,修复了 150 多种不同机型的漏洞问题,不过其它厂商目前没有完全跟进修复。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

相关文章

关键词:UEFI英特尔CPU漏洞

软媒旗下网站: IT之家 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 软媒手机APP应用 魔方 最会买 要知