聯想 5 月已發布補丁，Phoenix UEFI 韌體漏洞披露：影響數百款英特爾 PC CPU 型號

本站 6 月 21 日消息，Phoenix SecureCore UEFI 韌體被曝安全漏洞，影響數百款英特爾 CPU 設備，聯想目前已經發布了新的韌體更新修復該漏洞。

本站從報道中獲悉，該漏洞追蹤編號為CVE-2024-0762，被稱為“UEFICANHAZBUFFEROVERFLOW”，存在於Phoenix UEFI 韌體中的可信平台模組（TPM）配置中，是一個緩衝區溢位漏洞，可被利用在易受攻擊的裝置上執行任意程式碼。

該漏洞由Eclypsium 發現，他們在聯想ThinkPad X1 Carbon 第7 代和X1 Yoga 第4 代設備上發現了該漏洞，隨後向Phoenix 公司確認，影響以下英特爾CPU 的SecureCore 固件：

Coffee Lake

Comet Lake

Ice Lake

Jasper Lake

Kaby Lake

Meteor Lake

Raptor Lake

et Lake？影響聯想、戴爾、宏碁和惠普的數百款機型。

Eclypsium 稱，他們發現的漏洞是 Phoenix SecureCore 韌體的系統管理模式（SMM）子系統中的緩衝區溢出，允許攻擊者覆蓋相鄰記憶體。

如果記憶體被正確的資料覆蓋，攻擊者就有可能提升權限並獲得韌體中的程式碼執行能力，從而安裝引導工具包惡意軟體。

Phoenix 公司於 4 月發布警告，聯想於 5 月發布新固件，修復了 150 多種不同機型的漏洞問題，不過其它廠商目前沒有完全跟進修復。

以上是聯想 5 月已發布補丁，Phoenix UEFI 韌體漏洞披露：影響數百款英特爾 PC CPU 型號的詳細內容。更多資訊請關注PHP中文網其他相關文章！