Lenovo製ノートPCに搭載されたUEFIに、3件の脆弱(ぜいじゃく)性が発見されました。Lenovoは脆弱性の影響を受ける製品に対してセキュリティアップデートを配信しており、アップデートの適用を呼びかけています。

Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US

https://support.lenovo.com/us/en/product_security/LEN-94952







Lenovo製ノートPCのUEFIに存在する脆弱性は、セキュリティ企業のESETによって発見されました。ESETによると、脆弱性が悪用された場合「UEFIセキュアブートの無効化」「セキュアブートデータベースを工場出荷時の状態に復元」といった攻撃が実行可能になってしまうとのこと。3件の脆弱性には「CVE-2022-3430」「CVE-2022-3431」「CVE-2022-3432」というCVE番号が付与されています。各脆弱性の概要は以下の通り。

CVE-2022-3430

Lenovoの一般ユーザー向けノートPCのWMIセットアップドライバーに存在する脆弱性。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

CVE-2022-3431

Lenovoの一般ユーザー向けノートPCのドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

CVE-2022-3432

「ideapad Y700-14ISK」のドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

発見された3件の脆弱性のうち「CVE-2022-3430」と「CVE-2022-3431」についてはセキュリティアップデートが配信されています。しかし、「CVE-2022-3432」については、影響を受ける「ideapad Y700-14ISK」のサポートが終了していることからセキュリティアップデートは配信されません。記事作成時点でセキュリティアップデートの対象となっている製品は以下の通り。

D330-10IGL Laptop (ideapad)

IdeaPad 5 Pro 16ARH7

IdeaPad 5 Pro 16IAH7

IdeaPad Duet 3 10IGL5

Lenovo Slim 7 16ARH7

Lenovo ThinkBook 15p IMH

S540-15IML Laptop (ideapad)

Slim 7 Pro 16ACH6 Laptop (IdeaPad)

Slim 7-14ARE05 Laptop (ideapad)

Slim 7-14IIL05 Laptop (ideapad)

Slim 7-14ITL05 Laptop (ideapad)

Slim 7-15IIL05 Laptop (ideapad)

Slim 7-15IMH05 Laptop (ideapad)

Slim 7-15ITL05 Laptop (ideapad)

ThinkBook 13x ITG Laptop

ThinkBook 14 G2 ARE Laptop

ThinkBook 14 G2 ITL Laptop

ThinkBook 14 G3 ACL Laptop

ThinkBook 14 G3 ITL Laptop

ThinkBook 14 G4 ABA Laptop

ThinkBook 14 G4+ ARA

ThinkBook 14 G4+ IAP Laptop

ThinkBook 14p G3 ARH

ThinkBook 14s Yoga ITL

ThinkBook 15 G2 ARE Laptop

ThinkBook 15 G2 ITL Laptop

ThinkBook 15 G3 ACL Laptop

ThinkBook 15 G3 ITL Laptop

ThinkBook 15 G4 ABA Laptop

ThinkBook 15P G2 ITH

ThinkBook 16 G4+ ARA

ThinkBook 16 G4+ IAP Laptop

ThinkBook 16p G3 ARH

ThinkBook 16p NX ARH

ThinkBook Plus G2 ITG

ThinkBook Plus G3 IAP

Yoga Creator 7-15IMH05 Laptop (ideapad)

Yoga Duet 7-13IML05

Yoga Duet 7-13ITL6

Yoga Duet 7-13ITL6-LTE

Yoga Slim 7 Carbon 13ITL5 (ideapad)

Yoga Slim 7 Pro 16ACH6 Laptop (IdeaPad)

Yoga Slim 7 Pro 16ARH7

Yoga Slim 7-13ACN05 Laptop (ideapad)

Yoga Slim 7-13ITL05 Laptop (ideapad)

Yoga Slim 7-14ARE05 Laptop (ideapad)

Yoga Slim 7-14IIL05 Laptop (ideapad)

Yoga Slim 7-14ITL05 Laptop (ideapad)

Yoga Slim 7-15IIL05 Laptop (ideapad)

Yoga Slim 7-15IMH05 Laptop (ideapad)

Yoga Slim 7-15ITL05 Laptop (ideapad)

ideapad 5 Pro-16ACH6 Laptop

ideapad 5 Pro-16IHU6 Laptop

ideapad Creator 5-16ACH6 Laptop

Lenovoは影響を受ける製品のユーザーに対して、サポートページからアップデートをダウンロードして適用することを求めています。また、ESETもアップデートの適用を強く推奨しています。