Theo đó, nhà nghiên cứu Martin Smolár của ESET (Slovakia) cho biết, hai lỗ hổng CVE-2021-3971 và CVE-2021-3972 ảnh hưởng đến trình điều khiển firmware chỉ được sử dụng trong quá trình sản xuất máy tính xách tay của Lenovo. Không may, firmware này bị đưa nhầm vào các hình ảnh BIOS hoàn chỉnh để xuất xưởng mà không được tắt đúng cách.
Việc khai thác thành công các lỗ hổng cho phép tin tặc vô hiệu hóa tính năng bảo vệ SPI flash hoặc khởi động an toàn và có thể cài đặt phần mềm độc hại với khả năng tồn tại bền bỉ trên hệ thống.
Lỗ hổng định danh CVE-2021-3970 liên quan đến vấn đề hỏng bộ nhớ trong chế độ quản lý hệ thống (SMM) của Lenovo, dẫn đến việc thực thi mã độc với các đặc quyền cao nhất.
Ba lỗ hổng này đã được báo cáo cho nhà sản xuất từ 10/2021, các bản vá được phát hành vào 4/2022. Các lỗ hổng này ảnh hưởng đến Lenovo Flex; IdeaPads; Legion; dòng V14, V15 và V17 và máy tính xách tay Yoga.
Smolár cho biết, các lỗ hổng liên quan đến UEFI rất nguy hiểm và khó phát hiện. Đây là một trong những thành phần được thực thi đầu tiên trong quá trình khởi động, trước khi chuyển quyền kiểm soát sang hệ điều hành. Do đó, mã độc liên quan đến UEFI có thể qua mặt hầu hết tất cả các biện pháp bảo mật.
Nguyễn Liên
08:00 | 13/08/2019
15:59 | 20/07/2016
08:56 | 07/01/2016
11:00 | 15/08/2024
Công nghệ Blockchain hiện nhận được nhiều sự quan tâm, nghiên cứu và ứng dụng trên toàn thế giới. Chính vì vậy, Tạp chí An toàn thông tin phỏng vấn ông Phan Đức Trung, Phó Chủ tịch thường trực Hiệp hội Blockchain Việt Nam để cùng nghe ông chia sẻ cũng như nhận định về tình hình phát triển của công nghệ Blockchain trong thời gian tới.
14:00 | 02/07/2024
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào tai nghe một cách trái phép.
15:00 | 03/06/2024
Nhà cung cấp dịch vụ doanh nghiệp nổi tiếng Zoom đã công bố triển khai mã hóa đầu cuối hậu lượng tử, nhằm nâng cấp bảo mật cho các cuộc họp trên nền tảng Zoom, với sự hỗ trợ cho Zoom Phone và Zoom Rooms trong tương lai.
15:00 | 31/05/2024
Vừa qua, Google đã công bố các tính năng bảo mật được cải tiến và các biện pháp bảo vệ được hỗ trợ bởi AI trong Android 15, nhằm giữ an toàn cho người dùng khỏi gian lận và phần mềm độc hại.
Juventus lựa chọn Kiến trúc bảo mật Security Fabric và danh mục sản phẩm mạng bảo mật của Fortinet nhằm đơn giản hóa quản lý và giúp phát hiện, giải quyết các vấn đề mạng và bảo mật khắp các cơ sở nổi tiếng thế giới của câu lạc bộ này.
16:00 | 31/08/2024