Lenovo publie un correctif de sécurité d'urgence pour des centaines de modèles d'ordinateurs

Lenovo Legion Slim 7i
(Crédit photo: Future)

Lenovo a corrigé un certain nombre de failles majeures du BIOS qui permettent aux cybercriminels de lancer potentiellement toutes sortes de cyberattaques dévastatrices sur une large gamme de ses produits - des PC de bureau aux ordinateurs portables.

Dans une note de sécurité publiée en début de semaine, la société a déclaré que des centaines de ses appareils se révélaient vulnérables à six failles de haute gravité bien distinctes. Les ordinateurs concernés appartiennent aux séries Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation et ThinkSystem,  

Ces vulnérabilités pouvaient être exploitées par des pirates informatiques pour voler des données sensibles, s’octroyer des privilèges Administrateur, lancer des attaques par déni de service et, dans des cas extrêmes, permettre l'exécution de code arbitraire.

Comment sécuriser son ou ses ordinateurs Lenovo ?

Les failles de sécurité corrigées par Lenovo sont les suivantes : 

  • CVE-2021-28216 (défaut de pointeur dans le BIOS TianoCore EDK II - permet l'élévation de privilèges et l'exécution de code arbitraire), 
  • CVE-2022-40134 (fuite d'informations dans le gestionnaire SMI Set Bios Password - permet la lecture de la mémoire SMM), 
  • CVE-2022-40135 (fuite d'informations dans le gestionnaire SMI Smart USB Protection, permet la lecture de la mémoire SMM), 
  • CVE-2022-40136 (fuite d'informations dans le gestionnaire SMI utilisé pour configurer les paramètres de la plateforme via WMI, permet la lecture de la mémoire SMM),
  • CVE-2022-40137 (dépassement de tampon dans le gestionnaire SMI WMI, permet l'exécution de code arbitraire) 

La correction de ces failles entre en jeu dans la dernière mise à jour du BIOS pour les appareils susmentionnés, et la société conseille à tous les administrateurs système de les appliquer immédiatement. 

D'autres correctifs devraient être publiés avant la fin du mois, ainsi qu'en octobre, et une courte liste de modèles recevra ses mises à jour au début de l'année prochaine. 

Ceux qui souhaitent sécuriser leurs terminaux doivent se rendre sur le portail "Pilotes et téléchargements" de Lenovo, rechercher leurs appareils par leur nom de produit ou numéro de série et choisir "Mise à jour manuelle". Cela permettra de télécharger la dernière version du firmware BIOS, qu'ils pourront ensuite installer manuellement.

Vous pouvez trouver la liste complète des périphériques concernés via ce lien.

Via BleepingComputer

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.