Sécurité : des millions de PC Lenovo vulnérables

Des chercheurs en sécurité de l’entreprise slovaque de sécurité informatique ESET ont découvert trois failles de sécurité dans « une centaine » de modèles de PC Lenovo.

La vulnérabilité CVE-2021-3970 est un problème de corruption potentielle de la mémoire. Elle est présentée comme une « faille potentielle dans LenovoVariable SMI Handler » qui peut permettre l’exécution de code arbitraire par un attaquant disposant d’un accès local et de privilèges élevés.

Les deux autres – CVE-2021-3971 et CVE-2021-3972 – impactent les pilotes du microgiciel (firmware) UEFI (Unified Extensible Firmware Interface). Elles peuvent être utilisées pour désactiver les protections flash SPI (les bits du registre de contrôle du BIOS et les registres de plage de protection) ou la fonction de démarrage sécurisé UEFI.

Firmware à mettre à jour

« Les menaces UEFI peuvent être extrêmement furtives et dangereuses », a déclaré dans une note technique datée du 19 avril, Martin Smolár, chercheur en sécurité d’ESET. « Elles s’exécutent au début du processus de démarrage de la machine, avant que le système d’exploitation ne prenne le contrôle de celle-ci. Ce qui signifie que ces menaces peuvent contourner presque toutes les mesures de sécurité et d’atténuation à des niveaux plus élevés du stack, mesures qui pourraient empêcher l’exécution de charges utiles OS ».

Pour les terminaux concernés par ces vulnérabilités, Lenovo recommande sur sa page web dédiée de mettre à jour au plus vite le firmware.

« Nous avons signalé toutes les vulnérabilités découvertes à Lenovo le 11 octobre 2021 », a précisé Martin Smolár. « La liste des appareils concernés inclut plus d’une centaine de différents modèles d’ordinateurs portables grand public [du Ideapad-3 au Legion 5 Pro-16ACH6 H ou Yoga Slim 9-14ITL05] et intéresse des millions d’utilisateurs dans le monde. La liste complète des modèles concernés avec support actif est disponible sur la page Lenovo Advisory. »

_{(crédit photo © Lenovo)}