近期,知名科技新闻平台bleepingcomputer披露了一则关于联想的重要安全更新信息。据该报道,联想迅速响应,发布了一项针对其UEFI(统一可扩展固件接口)固件的紧急更新,旨在修补一系列高危安全漏洞。
联想官方发出安全警报,指出采用定制版Insyde UEFI固件的一系列一体机桌面电脑正面临严重的安全威胁。受影响设备范围广泛,具体型号包括IdeaCentre AIO 3系列的24ARR9和27ARR9,以及Yoga AIO系列的27IAH10、32ILL10和32IRH8等。
这些漏洞由安全研究公司Binarly发现,它们允许本地黑客在系统管理模式(SMM)下执行任意代码。SMM是CPU的一种特殊模式,其运行层级低于操作系统和虚拟机管理器,拥有更高的权限。一旦攻击者利用SMM中的漏洞,就能植入几乎无法被检测的恶意软件,并轻易绕过安全启动等操作系统级别的安全防御机制。
以下是六个已确认漏洞的详细信息:
CVE-2025-4421漏洞允许攻击者通过EfiSmiServices的Callback7功能,使用未经验证的RSI寄存器写入攻击者控制的SMRAM地址,从而实现SMM权限提升和固件持久性妥协,CVSS评分为8.2。
CVE-2025-4422漏洞涉及SMI处理程序中的错误,可能通过gEfiSmmCpuProtocol和EfiPcdProtocol的EfiSmiServices导致SMM内存损坏和权限提升,同样获得CVSS评分8.2。
CVE-2025-4423漏洞存在于SetupAutomationSmm功能中,允许攻击者在SMM中任意写入内存,导致SMM权限提升和代码执行,CVSS评分同样高达8.2。
CVE-2025-4424漏洞则由于SetupAutomationSmm中的输入验证不正确,允许对SmmSetVariable进行未经验证的调用,导致固件设置被恶意操纵,CVSS评分为6。
CVE-2025-4425漏洞是一个堆栈缓冲区溢出问题,也存在于SetupAutomationSmm中,可能导致SMM权限提升和任意代码执行,CVSS评分为8.2。
最后,CVE-2025-4426漏洞同样源于SetupAutomationSmm中的错误,泄露SMRAM内容,造成敏感信息泄露,CVSS评分为6。
为应对这些安全威胁,联想已经为IdeaCentre AIO 3等受影响型号的一体机发布了固件安全更新,强烈建议用户升级到版本O6BKT1AA。对于Yoga AIO系列,尽管目前尚未发布更新,但联想已计划在2025年9月30日至11月30日期间推出相应的修复程序。
联想的这一系列举措,体现了其对用户数据安全和设备安全的高度重视,同时也提醒所有用户及时更新固件,以确保设备免受潜在的安全威胁。