联想BIOS固件一年第三次叒出现多个安全漏洞 请使用联想设备的用户立即更新固件

安全公司ESET日前公布联想笔记本电脑BIOS 固件的最新安全漏洞，漏洞公布前已经提前通报联想进行修复。

根据安全公告联想消费级笔记本电脑中使用的固件存在漏洞 ,  攻击者可通过需改NVRAM变量禁用安全启动。

禁用UEFI安全启动后攻击者可以通过各类恶意软件展开攻击 , 考虑到联想设备庞大的用户群因此威胁非常大。

目前联想已经推出新版固件修复漏洞 ,  这也是2022年到目前为止联想出现的第三次BIOS或者UEFI固件漏洞。

以下是漏洞详情：

CVE-2022-3430：部分联想消费者笔记本电脑上的WMI 设置驱动程序中存在安全漏洞可能会被攻击者利用。

攻击者利用该漏洞可以进行权限提升，从而通过修改NVRAM (非易失性存储器)变量禁用UEFI安全启动功能。

CVE-2022-3431：在某些消费笔记本电脑制造过程中使用的驱动程序存在漏洞 ，这些驱动通常被用于测试。

这类测试用的驱动程序并未被停用导致漏洞还可以被利用，攻击者同样可以用来修改变量从而禁用安全启动。

CVE-2022-3432：Lenovo Ideapad Y700-14ISK笔记本电脑也是测试驱动的漏洞，情况和上面的漏洞类似。

但由于这款上市于 2016 年的机器目前已被联想结束支持，因此无法修复漏洞，用户只能购买新笔记本电脑。

新版固件下载地址：

对于中国用户请点击这里访问支持站点，输入你的笔记本电脑完整型号，查找最新固件下载后手动更新即可。

对于非中国用户请点击这里访问联想国际站支持站点，对于IBM品牌的部分机器，请点击这里进入支持站点。

受影响的联想笔记本电脑非常多蓝点网这里不再复制机型列表，如有需要请点击这里查看所有受影响的机型。

相关内容：

• 联想笔记本电脑再次出现UEFI安全漏洞 影响70余款机型可被用来劫持系统

• 联想用户请暂时不要更新BIOS 部分用户更新固件后无法启动或启动后黑屏

• 联想数百款机型存在UEFI安全漏洞 联想已发布更新请用户速速升级