Pour gérer vos consentements :
Categories: PCPoste de travail

Sécurité : des millions de PC Lenovo vulnérables

Des chercheurs en sécurité de l’entreprise slovaque de sécurité informatique ESET ont découvert trois failles de sécurité dans « une centaine » de modèles de PC Lenovo.

La vulnérabilité CVE-2021-3970 est un problème de corruption potentielle de la mémoire. Elle est présentée comme une « faille potentielle dans LenovoVariable SMI Handler » qui peut permettre l’exécution de code arbitraire par un attaquant disposant d’un accès local et de privilèges élevés.

Les deux autres – CVE-2021-3971 et CVE-2021-3972 – impactent les pilotes du microgiciel (firmware) UEFI (Unified Extensible Firmware Interface). Elles peuvent être utilisées pour désactiver les protections flash SPI (les bits du registre de contrôle du BIOS et les registres de plage de protection) ou la fonction de démarrage sécurisé UEFI.

Firmware à mettre à jour

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses », a déclaré dans une note technique datée du 19 avril, Martin Smolár, chercheur en sécurité d’ESET. « Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ce qui signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation à des niveaux plus élevés du stack, mesures qui pourraient empêcher l’exécution de charges utiles OS ».

Pour les terminaux concernés par ces vulnérabilités, Lenovo recommande sur sa page web dédiée de mettre à jour au plus vite le firmware.

« Nous avons signalé toutes les vulnérabilités découvertes à Lenovo le 11 octobre 2021 », a précisé Martin Smolár. « La liste des appareils concernés inclut plus d’une centaine de différents modèles d’ordinateurs portables grand public [du Ideapad-3 au Legion 5 Pro-16ACH6 H ou Yoga Slim 9-14ITL05] et intéresse des millions d’utilisateurs dans le monde. La liste complète des modèles concernés avec support actif est disponible sur la page Lenovo Advisory. »

(crédit photo © Lenovo)

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

2 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

3 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

5 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

7 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

21 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

24 heures ago