案例中心

首页 / Our Projects /联想解决了BIOS代码执行缺陷媒体

联想解决了BIOS代码执行缺陷媒体

2025-11-13 20:46:21

联想修复三项 BIOS 安全漏洞影响超70款笔记本

关键要点

联想已发布针对三项 BIOS 安全漏洞的补丁，这些漏洞影响超过70款笔记本电脑。CVE20221892 漏洞影响所有设备，攻击者可利用这些漏洞执行任意代码。漏洞源于对 UEFI 运行时服务函数 GetVariable 的 DataSize 参数缺乏充分验证。联想还警告用户有关可能影响使用 Intel 和 AMD 处理器的设备的推测性 Retbleed 攻击。此外，还发布了有关影响 Lenovo XClarity Controller 服务器管理引擎的安全缺陷的公告，攻击者可能利用这些漏洞导致拒绝服务DoS情况。

联想公司已针对其多款笔记本电脑发布了补丁，以修复三项严重的 BIOS 安全漏洞。其中一项被追踪为 CVE20221892，影响所有设备。根据 SecurityWeek，这些漏洞的存在使攻击者能够在平台启动的早期阶段执行任意代码，劫持操作系统执行流，并禁用安全功能。

研究人员表示，ESET 发现的这些漏洞源自对传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分，攻击者可以创建一个特制的 NVRAM 变量，导致第二次 GetVariable 调用中的数据缓冲区溢出。

除了上述漏洞，联想还警告称，使用 Intel 和 AMD 处理器的设备可能会受到推测性 Retbleed 攻击的影响。联想公司还发布了关于影响 XClarity Controller 服务器管理引擎的安全缺陷的公告，攻击者可以利用这些缺陷导致拒绝服务DoS条件。

skyline加速器app

迄今为止，用户应尽快更新其设备的 BIOS，以确保获得最新的安全修复，保护其信息安全。

联想解决了BIOS代码执行缺陷媒体