พบช่องโหว่ UEFI Firmware ใหม่ กระทบ Lenovo

พบช่องโหว่ UEFI Firmware ใหม่ กระทบ Lenovo Notebook หลายรุ่น

พบช่องโหว่ UEFI Firmware ใหม่ กระทบ Lenovo Notebook หลายรุ่น
(New UEFI Firmware Vulnerabilities Impact Several Lenovo Notebook Models)
Lenovo บริษัทผู้ผลิตสินค้าอิเล็กทรอนิกส์รายใหญ่ เข็นอัปเดตล่าสุดให้กับผู้ใช้งานโน้ตบุ๊คเมื่อวันอังคารที่ผ่านมา ประกอบด้วยการแก้ปัญหาความปลอดภัยถึงสามจุดด้วยกันให้กับ UEFI Firmware ของตนเองที่ส่งผลกระทบกับโน้ตบุ๊คของตนเองกว่า 70 รุ่น

ช่องโหว่ความปลอดภัยดังกล่าว สามารถถูกเจาะเพื่อรันโค้ดโปรแกรมใดใดก็ตามโดยที่เจ้าของเครื่องไม่รู้ตัวได้ทันทีในช่วงต้นของการบูตแพลตฟอร์มขึ้นมา และยังสามารถทำให้ผู้โจมตี บุกยึดโฟลว์การทำงานของระบบปฏิบัติการและปิดฟีเจอร์ความปลอดภัยที่สำคัญได้ด้วยตนเอง ESET บริษัทรักษาความปลอดภัยทางอินเตอร์เน็ตชื่อดัง (ที่เรารู้จัก Nod32 กันนั่นแหละ) เปิดเผยผ่านทางทวิตเตอร์
จากเคสหมายเลข CVE-2022-1890, CVE-2022-1891, และ CVE-2022-1892 บัคทั้งสามมีความเกี่ยวข้องกันกับช่องโหว่ที่ Buffer Overflow ที่ทาง Lenovo อธิบายไว้ว่ามันนำไปสู่การเพิ่มระดับสิทธิ์ผู้ใช้งานบนระบบที่ถูกโจมตี โดยงานนี้ Martin Smolár จาก ESET คือผู้ค้นพบและรายงานการค้นพบดังกล่าว

พบช่องโหว่ UEFI Firmware ใหม่ กระทบ Lenovo

ต้นตอของบัคนั้นมาจากการตรวจสอบที่ไม่เพียงพอของค่า NVRAM ที่เรียกว่า “DataSize” ในสามไดรเวอร์ที่แตกต่างกันของ ReadyBootDxe, SystemLoadDefaultDxe, และ SystemBootManagerDxe ส่งผลทำให้ Buffer Overflow และสามารถกลายเป็นอาวุธในการรันโค้ดได้

ซึ่งครั้งนี้นับเป็นครั้งที่สองแล้วที่ Lenovo จัดการย้ายแอดเดรสช่องโหว่ความปลอดภัย UEFI ตั้งแต่ต้นปีที่ผ่านมา โดยในเดือนเมษายน ทางบริษัทได้ทำการแก้ไขช่องโหว่ไปแล้ว 3 จุด (CVE-2021-3970, CVE-2021-3971, และ CVE-2021-3972) ที่ถูกค้นพบโดย Smolár คนเดิมกับที่ค้นพบบัคตัวที่สอง ที่อาจนำไปสู่การฝังและรันโปรแกรมเพื่อโจมตีผู้ใช้งานได้

ถ้าหากคุณไม่แน่ใจว่าเป็นหนึ่งในผู้ใช้งานที่กำลังใช้โน้ตบุ๊คที่ได้รับผลกระทบจากเฟิร์มแวร์เดียวกันหรือไม่ เราขอแนะนำให้จัดการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดให้เรียบร้อย เพื่อความปลอดภัยสูงสุดในการใช้งาน

ขอบคุณแหล่งที่มา : news.thaiware.com/thehackernews.com


ติดตามข่าวสารได้ที่ mydeedees.com

องค์กรยุคใหม่

องค์กรยุคใหม่ จำเป็นต้องประมวลผลและวิเคราะห์ข้อมูลที่พวกเขาสร้างขึ้นแบบเรียลไทม์

องค์กรต่างๆ ต่างก็ผลิตข้อมูลจำนวนมากมายเหลือเฟือ ศักยภา […]

Read More
ฟังก์ชันบริการทางการเงิน

ฟังก์ชันบริการทางการเงิน ที่พัฒนาโดยระบบ AI

ด้วยบัตรชำระเงิน 2.5 พันล้านใบที่ใช้ในกว่า 200 ประเทศแล […]

Read More
การสร้างแพลตฟอร์ม

การสร้างแพลตฟอร์ม ระดับโลกสำหรับวิศวกรซอฟต์แวร์

วิศวกรซอฟต์แวร์และความสามารถในการส่งมอบมีความสำคัญต่อคว […]

Read More