Lenovoは、ThinkPwnの脆弱性に関する
LEN- 8324のセキュリティ通知を、影響を受けるコンピューターのリストとともに拡大し、それを修正するアップデートのリリース日も発表しました。 以前に、Lenovoのコンピューター用UEFIファームウェアドライバーの1つに存在するこの0day LPEの脆弱性について
書いたほか、DellやHewlett Packardなどの他のメーカーのコンピューターもこの脆弱性に対して脆弱であることを示しました。 この脆弱性により、管理者権限でシステムにログオンした攻撃者が任意のSMMコードを実行し、この方法を使用してハードウェア保護をバイパスしてSPIフラッシュチップメモリを変更することができます。
Lenovoによると、ThinkPwnはデスクトップおよびデスクトップオールインワン(モノブロック)シリーズのコンピューターに最も関連性が低く、IdeaCentre、Lenovo(B、D、E、G、H、M)、Lenovo QITIANなどについて語っています。 ThinkPadノートブックのThinkPwnシリーズといくつかのIdeaPadモデルは、ThinkPwnに最も陥りやすいものでした。 一部のThinkStationコンピューターでは、この脆弱性も関連しています。
Lenovoのアドバイザリは、多くのモデルで、特にThinkServerシリーズのサーバーコンピューターで、ThinkPwnに対する脆弱性の研究が進行中であることを示しています。 このシリーズのほとんどすべてのモデルの脆弱性はまだ調査中です。
次の表は、更新プログラムが既に発表されているコンピューターモデルを示しています。
次のコンピューターの更新も予定されています(ステータス保留中):
- System xシリーズ:Flex System x240 M5、Flex System x280 X6、Flex System x480 X6、Flex System x880、Flex System x880 X6、NeXtScale nx360 M5、System x3500 M5、System x3550 M5、System x3650 M5、System x3850 X6、System x3950 X6。
- ThinkPad:ThinkPad 10(Ella-2)、ThinkPad 11e、ThinkPad 11e / Yoga 11e(20ED-20EE)、ThinkPad E455 / E555、ThinkPad E465 / E565、ThinkPad Edge E145、ThinkPad Edge E440 / E540、ThinkPad Edge E445 / E545、 ThinkPad Edge E455 / E555、ThinkPad Edge S430、ThinkPad Helix(3xxx)、ThinkPad L430、ThinkPad L440 / L540、ThinkPad L530、ThinkPad S1 Yoga(20FS-20FT)、ThinkPad S3-S440、ThinkPad S430など
ユーザーは、更新後すぐにコンピューターを更新することをお勧めします。
安全である。