Theo đó, nhà nghiên cứu Martin Smolár của ESET (Slovakia) cho biết, hai lỗ hổng CVE-2021-3971 và CVE-2021-3972 ảnh hưởng đến trình điều khiển firmware chỉ được sử dụng trong quá trình sản xuất máy tính xách tay của Lenovo. Không may, firmware này bị đưa nhầm vào các hình ảnh BIOS hoàn chỉnh để xuất xưởng mà không được tắt đúng cách.
Việc khai thác thành công các lỗ hổng cho phép tin tặc vô hiệu hóa tính năng bảo vệ SPI flash hoặc khởi động an toàn và có thể cài đặt phần mềm độc hại với khả năng tồn tại bền bỉ trên hệ thống.
Lỗ hổng định danh CVE-2021-3970 liên quan đến vấn đề hỏng bộ nhớ trong chế độ quản lý hệ thống (SMM) của Lenovo, dẫn đến việc thực thi mã độc với các đặc quyền cao nhất.
Ba lỗ hổng này đã được báo cáo cho nhà sản xuất từ 10/2021, các bản vá được phát hành vào 4/2022. Các lỗ hổng này ảnh hưởng đến Lenovo Flex; IdeaPads; Legion; dòng V14, V15 và V17 và máy tính xách tay Yoga.
Smolár cho biết, các lỗ hổng liên quan đến UEFI rất nguy hiểm và khó phát hiện. Đây là một trong những thành phần được thực thi đầu tiên trong quá trình khởi động, trước khi chuyển quyền kiểm soát sang hệ điều hành. Do đó, mã độc liên quan đến UEFI có thể qua mặt hầu hết tất cả các biện pháp bảo mật.
Nguyễn Liên
08:00 | 13/08/2019
15:59 | 20/07/2016
08:56 | 07/01/2016
14:00 | 19/02/2024
Hợp doanh Accenture (Mỹ) và SandboxAQ cung cấp khả năng quản lý mật mã toàn diện dựa trên trí tuệ nhân tạo (AI), tận dụng Bộ bảo mật của SandboxAQ để cung cấp các giải pháp AI và điện toán lượng tử.
07:00 | 17/01/2024
GitLab đã phát hành các bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng. Đáng lưu ý, một trong hai lỗ hổng được vá có thể bị khai thác để chiếm đoạt tài khoản mà không yêu cầu bất kỳ tương tác nào của người dùng.
14:00 | 16/01/2024
Công ty phát triển trò chơi Android - Ateam (Nhật Bản) chứng minh rằng một lỗi cấu hình Google Drive đơn giản có thể dẫn đến nguy cơ lộ thông tin nhạy cảm trong khoảng thời gian hơn 6 năm vừa qua.
15:00 | 16/10/2023
Google đưa ra thông báo về việc hệ thống mã khóa (passkey) sẽ trở thành công cụ đăng nhập mặc định trên tất cả tài khoản Google, thay vì dùng mật khẩu (password) như bình thường.
Trong hai ngày 09/4 và 11/4, lần lượt tại Hà Nội và Thành phố Hồ Chí Minh, Công ty Cổ phần Tin học Mi Mi (Mi2) đã tổ chức thành công Hội thảo "Bảo vệ dữ liệu Microsoft 365 quy mô lớn và chuẩn bị cho Copilot Generative AI".
16:00 | 15/04/2024