Lenovoは、コンピューターのファームウェアの0day ThinkPwn脆弱性を修正します

Lenovoは、ThinkPwnの脆弱性に関するLEN- 8324のセキュリティ通知を、影響を受けるコンピューターのリストとともに拡大し、それを修正するアップデートのリリース日も発表しました。 以前に、Lenovoのコンピューター用UEFIファームウェアドライバーの1つに存在するこの0day LPEの脆弱性について書いたほか、DellやHewlett Packardなどの他のメーカーのコンピューターもこの脆弱性に対して脆弱であることを示しました。 この脆弱性により、管理者権限でシステムにログオンした攻撃者が任意のSMMコードを実行し、この方法を使用してハードウェア保護をバイパスしてSPIフラッシュチップメモリ​​を変更することができます。







Lenovoによると、ThinkPwnはデスクトップおよびデスクトップオールインワン（モノブロック）シリーズのコンピューターに最も関連性が低く、IdeaCentre、Lenovo（B、D、E、G、H、M）、Lenovo QITIANなどについて語っています。 ThinkPadノートブックのThinkPwnシリーズといくつかのIdeaPadモデルは、ThinkPwnに最も陥りやすいものでした。 一部のThinkStationコンピューターでは、この脆弱性も関連しています。



Lenovoのアドバイザリは、多くのモデルで、特にThinkServerシリーズのサーバーコンピューターで、ThinkPwnに対する脆弱性の研究が進行中であることを示しています。 このシリーズのほとんどすべてのモデルの脆弱性はまだ調査中です。



次の表は、更新プログラムが既に発表されているコンピューターモデルを示しています。







次のコンピューターの更新も予定されています（ステータス保留中）：

• System xシリーズ：Flex System x240 M5、Flex System x280 X6、Flex System x480 X6、Flex System x880、Flex System x880 X6、NeXtScale nx360 M5、System x3500 M5、System x3550 M5、System x3650 M5、System x3850 X6、System x3950 X6。
• ThinkPad：ThinkPad 10（Ella-2）、ThinkPad 11e、ThinkPad 11e / Yoga 11e（20ED-20EE）、ThinkPad E455 / E555、ThinkPad E465 / E565、ThinkPad Edge E145、ThinkPad Edge E440 / E540、ThinkPad Edge E445 / E545、 ThinkPad Edge E455 / E555、ThinkPad Edge S430、ThinkPad Helix（3xxx）、ThinkPad L430、ThinkPad L440 / L540、ThinkPad L530、ThinkPad S1 Yoga（20FS-20FT）、ThinkPad S3-S440、ThinkPad S430など

ユーザーは、更新後すぐにコンピューターを更新することをお勧めします。





安全である。