เมนู

Lenovo อัพเด BIOS ใหม่
แก้ไข้อผิดพลาด และช่องโหว่ 5 รายการ

Lenovo5 Full

ส่งผลกระทบผลิตภัณฑ์หลายรุ่น ทั้ง Desktop, All in One, Idea Centre, Legion, ThinkCentre, ThinkPad, Think Agile, Think Station และ Think System

19 กันยายน 2565

Lenovo ประกาศคำแนะนำด้านความมั่นคงเพื่อเตือนช่องโหว่ความรุนแรงสูงใน BIOS ส่งผลกระทบกับหลายร้อยอุปกรณ์ในผลิตภัณฑ์หลายรุ่น ทั้ง Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation และ ThinkSystem

ช่องโหว่ที่รวมอยู่ในประกาศคำแนะนำครั้งนี้ ประกอบด้วย

  • CVE-2021-28216: ช่องโหว่ของพอยท์เตอร์ใน TianoCore EDK II BIOS (หรือ UEFI) ส่งผลให้ผู้บุกรุกสามารถยกระดับสิทธิและเรียกใช้ชุดคำสั่งโดยพลการได้
  • CVE-2022-40134: ช่องโหว่ใน SMI Handler ในส่วนการกำหนดรหัสผ่านของ BIOS ส่งผลให้ผู้บุกรุกสามารถเข้าถึงข้อมูลในหน่วยความจำ SMM ได้
  • CVE-2022-40135: ช่องโหว่ที่เผยข้อมูลใน Smart USB Protection SMI Handler ส่งผลให้ผู้บุกรุกสามารถเข้าถึงข้อมูลในหน่วยความจำ SMM ได้
  • CVE-2022-40136: ช่องโหว่ที่เผยข้อมูลใน SMI Handler ซึ่งใช้สำหรับการคอนฟิกแพลตฟอร์มผ่าน WMI ส่งผลให้ผู้บุกรุกสามารถเข้าถึงข้อมูลในหน่วยความจำ SMM ได้
  • CVE-2022-40137: ช่องโหว่ Buffer Overflow ใน WMI SMI Handler ส่งผลให้ผู้บุกรุกสามารถเรียกใช้ชุดคำสั่งได้โดยพลการ
  • American Megatrends security enhancements (no CVEs)

SMM (System Management Mode) หรือมักเรียกว่า Ring -2 เป็นส่วนหนึ่งในเฟิร์มแวร์ UEFI ซึ่งให้บริการฟังก์ชั่นต่างๆ ของระบบ เช่น การควบคุมฮาร์ดแวร์ในระดับล่าง (Low-Level Hardware Control) และการจัดการพลังงาน เป็นต้น

การเข้าถึง SMM จึงเป็นหน้าที่ของระบบปฏิบัติการ หน่วยความจำ และพื้นที่จัดเก็บข้อมูล ซึ่งทำให้ทั้ง AMD และ Intel ร่วมกันพัฒนา SMM Isolation Mechanisms เพื่อทำให้ข้อมูลของผู้ใช้มีความปลอดภัยจากภัยคุกคามในระดับล่าง (Low-Level Threat)

การแก้ไข

Lenovo ได้แก้ไขข้อบกพร่อง/ช่องโหว่ข้างต้นผ่านการอัพเดท BIOS สำหรับผลิตภัณฑ์ในรุ่นที่ได้รับผลกระทบ ซึ่งแพตซ์ส่วนใหญ่พร้อมให้อัพเดทแล้วตั้งแต่ช่วงเดือนกรกฎาคม-สิงหาคม 2565 และยังคงมีแพตซ์เพิ่มเติมในช่วงปลายเดือนกันยายน-ตุลาคมอีกด้วย ในขณะที่บางโมเดลจะได้รับอัพเดทในปีถัดไป

สำหรับโมเดลของคอมพิวเตอร์และเวอร์ชั่นของ BIOS เฟิร์มแวร์ที่ได้รับผลกระทบสามารถพิจารณาได้จาก security bulletin พร้อมทั้งลิงค์ไปส่วนดาวน์โหลดของแต่ละโมเดล

อย่างไรก็ตาม ผู้ใช้งาน Lenovo สามารรถตรวจสอบอัพเดทได้จาก Drivers & Software โดยการค้นหาชื่อของผลิตภัณฑ์และเลือก Manual Update สำหรับการดาวน์โหลด BIOS เฟิร์มแวร์รุ่นล่าสุด