Lenovoは11月8日(米国時間)、「Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US」において、同社のノートブックに使用されているユニファイド・エクステンシブル・ファームウェア・インタフェース(UEFI: Unified Extensible Firmware Interface)に複数の脆弱性が存在すると伝えた。脆弱性が悪用されると、攻撃者によってセキュアブート設定が変更されてしまう危険性があるとされており、注意が必要。
Lenovoが公開したセキュリティアドバイザリに報告されている脆弱性は次のとおり。
- CVE-2022-3430: WMI Setupドライバに潜在的な脆弱性があり、昇格した権限を持つ攻撃者がNVRAM変数を変更することで、セキュアブート設定を変更できるリスクがある。
- CVE-2022-3431: デバイスの製造プロセスで使用されるドライバに、誤って無効化されない潜在的な脆弱性があり、昇格した権限を持つ攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できるリスクがある。
- CVE-2022-3432: Ideapad Y700-14ISKの製造プロセスで使用されるドライバに、誤って無効化されない潜在的な脆弱性があり、昇格した権限を持つ攻撃者がNVRAM変数を変更することでセキュアブート設定を変更できるリスクがある。
脆弱性の影響を受けるプロダクトは次のとおり(日本未発売製品を含む)。
- Lenovo製品(中国国内および中国を除く全世界で販売されている製品)
- IBMブランド System x レガシー製品
LenovoはCVE-2022-3432について、当該機種がサポート終了(EOL: End-of-Life)になっているため、修正プログラムをリリースする予定はないとしている。CVE-2022-3430およびCVE-2022-3431については、影響を受ける製品のシステムファームウェアを最新のバージョンにアップデートすることが推奨されている。