Lenovo製のノートPCの多数に影響する深刻なBIOSの脆弱性が存在することがわかりました(gHacks)。同社は脆弱性を公式サイトで周知しており、影響を受ける一部の機種に関してはファームウェア・アップデートをすでにリリースしています。残りのアップデートも5月上旬にはリリースする予定です。
公式サイトによるとLenovo製ノートPCのBIOSに、以下の3つの脆弱性が発見されたとのこと。
- CVE-2021-3970: LenovoノートPCの一部モデルでLenovoVariable SMI Handlerの検証が不十分なため、ローカルアクセスおよび昇格した権限を持つ攻撃者が任意のコードを実行できる潜在的な脆弱性が存在。
- CVE-2021-3971: 一部のコンシューマー向けLenovoノートPCの古い製造プロセスで使用されていたドライバが誤ってBIOSイメージに含まれていた場合、昇格した権限を持つ攻撃者がNVRAM変数を変更することでファームウェア保護領域を変更できる潜在的な脆弱性が存在。
- CVE-2021-3972: 一部のコンシューマー向けLenovoノートPCの製造プロセスで使用されているドライバが誤って無効化されていない場合、昇格した権限を持つ攻撃者がNVRAM変数を変更することで、セキュアブート設定を変更できる可能性がある。
脆弱性はLenovo IdeaPad 3、Flex 3、L340、Legion 5/7、Legion Y540、S14、S145、S540、Slim 7/9、V14/V15、Yoga Slim 7などの製品に影響を及ぼし、対象となるモデル全製品のリストも公開されています。
脆弱性を修正したファームウェアは、製品毎のサポートページを開き「BIOS/UEFI」を選択することでダウンロードすることができます。サポートページにも脆弱性の一覧や、ファームウェアの適用方法が掲載されています。
BIOSの更新にはリスクが伴うため、更新前によく確認してから実行することをおすすめします。
