Lenovo製ノートPCのUEFIに脆弱性が発見される、セキュリティ企業がアップデートを強く推奨
Lenovo製ノートPCに搭載されたUEFIに、3件の脆弱(ぜいじゃく)性が発見されました。Lenovoは脆弱性の影響を受ける製品に対してセキュリティアップデートを配信しており、アップデートの適用を呼びかけています。
Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US
https://support.lenovo.com/us/en/product_security/LEN-94952
#ESETResearch discovered and reported to the manufacturer 3 vulnerabilities in the #UEFI firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS. @smolar_m 1/9— ESET research (@ESETresearch) November 9, 2022
Lenovo製ノートPCのUEFIに存在する脆弱性は、セキュリティ企業のESETによって発見されました。ESETによると、脆弱性が悪用された場合「UEFIセキュアブートの無効化」「セキュアブートデータベースを工場出荷時の状態に復元」といった攻撃が実行可能になってしまうとのこと。3件の脆弱性には「CVE-2022-3430」「CVE-2022-3431」「CVE-2022-3432」というCVE番号が付与されています。各脆弱性の概要は以下の通り。
CVE-2022-3430
Lenovoの一般ユーザー向けノートPCのWMIセットアップドライバーに存在する脆弱性。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。
CVE-2022-3431
Lenovoの一般ユーザー向けノートPCのドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。
CVE-2022-3432
「ideapad Y700-14ISK」のドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。
発見された3件の脆弱性のうち「CVE-2022-3430」と「CVE-2022-3431」についてはセキュリティアップデートが配信されています。しかし、「CVE-2022-3432」については、影響を受ける「ideapad Y700-14ISK」のサポートが終了していることからセキュリティアップデートは配信されません。記事作成時点でセキュリティアップデートの対象となっている製品は以下の通り。
D330-10IGL Laptop (ideapad)
IdeaPad 5 Pro 16ARH7
IdeaPad 5 Pro 16IAH7
IdeaPad Duet 3 10IGL5
Lenovo Slim 7 16ARH7
Lenovo ThinkBook 15p IMH
S540-15IML Laptop (ideapad)
Slim 7 Pro 16ACH6 Laptop (IdeaPad)
Slim 7-14ARE05 Laptop (ideapad)
Slim 7-14IIL05 Laptop (ideapad)
Slim 7-14ITL05 Laptop (ideapad)
Slim 7-15IIL05 Laptop (ideapad)
Slim 7-15IMH05 Laptop (ideapad)
Slim 7-15ITL05 Laptop (ideapad)
ThinkBook 13x ITG Laptop
ThinkBook 14 G2 ARE Laptop
ThinkBook 14 G2 ITL Laptop
ThinkBook 14 G3 ACL Laptop
ThinkBook 14 G3 ITL Laptop
ThinkBook 14 G4 ABA Laptop
ThinkBook 14 G4+ ARA
ThinkBook 14 G4+ IAP Laptop
ThinkBook 14p G3 ARH
ThinkBook 14s Yoga ITL
ThinkBook 15 G2 ARE Laptop
ThinkBook 15 G2 ITL Laptop
ThinkBook 15 G3 ACL Laptop
ThinkBook 15 G3 ITL Laptop
ThinkBook 15 G4 ABA Laptop
ThinkBook 15P G2 ITH
ThinkBook 16 G4+ ARA
ThinkBook 16 G4+ IAP Laptop
ThinkBook 16p G3 ARH
ThinkBook 16p NX ARH
ThinkBook Plus G2 ITG
ThinkBook Plus G3 IAP
Yoga Creator 7-15IMH05 Laptop (ideapad)
Yoga Duet 7-13IML05
Yoga Duet 7-13ITL6
Yoga Duet 7-13ITL6-LTE
Yoga Slim 7 Carbon 13ITL5 (ideapad)
Yoga Slim 7 Pro 16ACH6 Laptop (IdeaPad)
Yoga Slim 7 Pro 16ARH7
Yoga Slim 7-13ACN05 Laptop (ideapad)
Yoga Slim 7-13ITL05 Laptop (ideapad)
Yoga Slim 7-14ARE05 Laptop (ideapad)
Yoga Slim 7-14IIL05 Laptop (ideapad)
Yoga Slim 7-14ITL05 Laptop (ideapad)
Yoga Slim 7-15IIL05 Laptop (ideapad)
Yoga Slim 7-15IMH05 Laptop (ideapad)
Yoga Slim 7-15ITL05 Laptop (ideapad)
ideapad 5 Pro-16ACH6 Laptop
ideapad 5 Pro-16IHU6 Laptop
ideapad Creator 5-16ACH6 Laptop
Lenovoは影響を受ける製品のユーザーに対して、サポートページからアップデートをダウンロードして適用することを求めています。また、ESETもアップデートの適用を強く推奨しています。
For those using one of the affected devices, we highly recommend updating to the latest firmware version. To see if you are affected by these vulnerabilities and for the firmware update instructions, visit Lenovo Advisory. https://t.co/7OxX6rDyR4 9/9— ESET research (@ESETresearch) November 9, 2022