Lenovoは1月3日(現地時間)、「ThinkPad X13s BIOS Vulnerabilities - Lenovo Support US」において、ThinkPad X13s BIOSに複数の脆弱性が発見されたとアナウンスした。これら脆弱性を悪用されると、ローカルの攻撃者によってメモリの破損や情報の窃取などが行われる危険性がある。
今回報告されたThinkPad X13s BIOSの脆弱性は以下のとおり。
- CVE-2022-40516、CVE-2022-40517、CVE-2022-40520: Qualcomm BIOSにおけるスタックベースのバッファオーバーフローの脆弱性。昇格された権限を持つローカルの攻撃者によってメモリの破損が引き起こされる可能性がある
- CVE-2022-40518、CVE-2022-40519: Qualcomm BIOSにおけるバッファオーバーリードの脆弱性。昇格された権限を持つローカルの攻撃者によって情報漏えいが引き起こされる可能性がある
- CVE-2022-4432、CVE-2022-4433、CVE-2022-4434、CVE-2022-4435: ThinkPad X13s BIOSにおけるバッファオーバーリードの脆弱性。昇格された権限を持つローカルの攻撃者によって情報漏えいが引き起こされる可能性がある
CVE-2022-40516からCVE-2022-40519までの5つの脆弱性はThinkPad X13sに搭載されたQualcomm製チップセットの脆弱性に起因するもの。Qualcommは2023年1月3日にこれらの脆弱性に対応したパッチをリリースしており、Lenovoに対してBIOSアップデートを発行するように要請していたという。
いずれの脆弱性も、ThinkPad X13s BIOSをバージョン1.47(N3HET75W)にアップデートすることで影響を回避できる。特にQualcomm BIOSのバッファオーバーフローの脆弱性はCVSS v3ベーススコアが8.4で深刻度"Important(重要)"に分類されており、早急に対処することが推奨されている。