当前位置: 代码网 > 科技>电脑产品>CPU > 联想 5 月已发补丁,Phoenix UEFI 固件漏洞披露:影响数百款英特尔 PC CPU 型号

联想 5 月已发补丁,Phoenix UEFI 固件漏洞披露:影响数百款英特尔 PC CPU 型号

2024年06月21日 CPU 我要评论
Phoenix SecureCore UEFI 固件被曝安全漏洞,影响数百款英特尔 CPU 设备,联想目前已经发布了新的固件更新修复该漏洞。

6 月 21 日消息,phoenix securecore uefi 固件被曝安全漏洞,影响数百款英特尔 cpu 设备,联想目前已经发布了新的固件更新修复该漏洞。

代码网从报道中获悉,该漏洞追踪编号为 cve-2024-0762,被称为“ueficanhazbufferoverflow”,存在于 phoenix uefi 固件中的可信平台模块(tpm)配置中,是一个缓冲区溢出漏洞,可被利用在易受攻击的设备上执行任意代码。

该漏洞由 eclypsium 发现,他们在联想 thinkpad x1 carbon 第 7 代和 x1 yoga 第 4 代设备上发现了该漏洞,随后向 phoenix 公司确认,影响以下英特尔 cpu 的  securecore 固件:

  • alder lake

  • coffee lake

  • comet lake

  • ice lake

  • jasper lake

  • kaby lake

  • meteor lake

  • raptor lake

  • rocket lake

  • tiger lake

由于使用该固件的英特尔 cpu 数量众多,该漏洞有可能影响联想、戴尔、宏碁和惠普的数百款机型。

eclypsium 称,他们发现的漏洞是 phoenix securecore 固件的系统管理模式(smm)子系统中的缓冲区溢出,允许攻击者覆盖相邻内存。

如果内存被正确的数据覆盖,攻击者就有可能提升权限并获得固件中的代码执行能力,从而安装引导工具包恶意软件。

phoenix 公司于 4 月发布警告,联想于 5 月发布新固件,修复了 150 多种不同机型的漏洞问题,不过其它厂商目前没有完全跟进修复。

(0)

相关文章:

版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。

发表评论

验证码:
最近更新的文章
推荐阅读
大家感兴趣的文章
Copyright © 2017-2025  代码网 保留所有权利. 粤ICP备2024248653号
站长QQ:2386932994 | 联系邮箱:2386932994@qq.com