最初，CVE-2021-3971和CVE-2021-3972是為了在聯(lián)想消費者筆記本的制造過程中使用。然而，在制作BIOS鏡像時，它們被錯誤地留在其中，而沒有首先停用。攻擊者可以獲得對這些設(shè)備的訪問，他們將能夠在操作系統(tǒng)運行期間從特權(quán)用戶模式進程中禁用SPI閃存保護或UEFI安全啟動功能。

聯(lián)想昨天針對這些漏洞發(fā)布了安全補丁，如下所示：

CVE-2021-3970-由于某些聯(lián)想筆記本型號的驗證工作不完善，LenovoVariable SMI Handler存在潛在漏洞，可能允許具有本地訪問權(quán)限和高權(quán)限的攻擊者執(zhí)行任意代碼。

CVE-2021-3971 - 一些消費型聯(lián)想筆記本電腦設(shè)備上的舊制造工藝中使用的驅(qū)動程序存在潛在漏洞，該驅(qū)動程序被錯誤地包含在BIOS鏡像中，可能允許具有高權(quán)限的攻擊者通過修改NVRAM變量修改固件保護區(qū)域。

CVE-2021-3972 - 在一些消費類聯(lián)想筆記本電腦設(shè)備的制造過程中使用的驅(qū)動程序存在潛在漏洞，該驅(qū)動程序被誤認為沒有被停用，可能允許具有高權(quán)限的攻擊者通過修改NVRAM變量來修改安全啟動設(shè)置。

利用這些安全補丁很重要，以避免在未來受到損害。這些威脅是在操作系統(tǒng)獲得控制權(quán)之前，也就是PC啟動過程的早期啟動的。因此，攻擊者將能夠?qū)谷魏位诓僮飨到y(tǒng)內(nèi)的安全措施。

了解更多：

https://support.lenovo.com/us/en/product_security/LEN-73440