Lenovo, 70’den fazla dizüstü bilgisayar modelinin, bir güvenlik uyarısında rastgele kod yürütülmesine neden olabilecek bir UEFI/BIOS hatasına karşı savunmasız olduğunu ortaya çıkardı.

Haberin Devamı

Haberin Devamı

Haberin Devamı

Haberin Devamı

Siber güvenlik araştırmacılarına göre , kusurlar platform önyükleme işlemi sırasında rastgele kod yürütmek için kullanılabilir ve saldırganlara işletim sistemi yürütme akışını kontrol etme ve önemli güvenlik mekanizmalarını devre dışı bırakma potansiyeli veriyor.

“UEFI Runtime Services yöntemine verilen DataSize parametresinin yetersiz doğrulaması GetVariable, bu güvenlik açıklarının temel nedeniydi. Özellikle yapılandırılmış bir NVRAM değişkeni, bir saldırgan tarafından oluşturulabilir ve bu, ikinci GetVariable çağrısında Veri arabelleğinin arabellek taşmasına neden olabilir,” diye devam etti.

Retbleed, Intel ve AMD CPU’lu cihazları etkileyen yeni bir spekülatif yürütme açığıdır ve Lenovo ayrıca kullanıcıları bu konuda uyarmıştı.

XClarity Controller sunucu yönetim motorunu kullanan çok sayıda ürünü etkileyen birkaç güvenlik açığı da şirketten gelen bir danışma belgesinde ele alınmıştır. Bu hatalar, yetkili kullanıcılara hizmetleri kesintiye uğratma veya dahili olanlara yetkisiz bağlantılar kurma yeteneği verebilir.

Haberin Devamı

Haberin Devamı

Haberin Devamı

Haberin Devamı

Bellenim kusurları tipik bir durumdur. Araştırmacılar, bazıları tek bir satıcının ürünlerine özel olsa da, çok sayıda üretici tarafından kullanılan üçüncü taraf bileşenlerinde güvenlik açıkları buldu.

Örneğin, InsydeH2O UEFI ürün yazılımı kodu, HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull ve Siemens gibi 25’ten fazla satıcı tarafından kullanılmakta ve yakın zamanda iki düzineden fazla güvenlik açığı içerdiği gösterilmiş durumda.

InsydeH2O’yu yapan şirket Insyde Software, Binarly ile iletişime geçer geçmez güvenlik açıklarını yamalamış olsa da, çarelerin üreticiler tarafından benimsenmesi ve milyonlarca son kullanıcıya ulaşması biraz zaman alabilir. Müşterilere, modüler ve yükseltilebilir Framework dizüstü bilgisayarların üreticisi tarafından bu sorunlara yönelik çözümlerin varlığından kısa bir süre önce bahsedildi.