レノボの「IdeaPad」や「Legion」シリーズのBIOSに脆弱性。修正版提供へ

Yoga Slim 7 Pro

　Lenovoは19日、同社製ノートPCの一部製品のBIOSに特権の昇格といった脆弱性があることを明らかにし、修正版BIOSを提供すると発表した。

　今回発表された脆弱性(共通脆弱性識別子)は以下の通り。

• CVE-2021-3970:一部のノートPCにおいて、 LenovoVariable SMIハンドラーの検証が不十分であり、潜在的な脆弱性が存在。攻撃者はローカルアクセスを通して不正に昇格し、任意のコードを実行する可能性がある
• CVE-2021-3971:古い製造プロセスで使われたドライバが、コンシューマ向けノートPCで誤ってBIOSイメージに含まれてしまっており、この脆弱性により攻撃者は不正な昇格によりNVRAMを書き換え、ファームウェアの保護範囲を変更可能になってしまう可能性
• CVE-2021-3972:製造プロセスで使われたドライバが、コンシューマ向けノートPCで誤って無効化されず、攻撃者はNVRAMを書き換えることでセキュアブートの設定を変更できてしまう可能性

　Lenovoでは対象のシステムに対し対策版BIOSを配布することで対処している。対象システムは「IdeaPad 3」、「Legion 5」、「Legion S7」、「Legion Y540」、「Legion Y545」、「Legion Y7000」、「Yoga C740」、「Yoga C940」、「Yoga Slim 7 Pro」、「Yoga Slim 9」、「ideapad Gaming 3」など多数。

　なお、一部モデルの脆弱性対象の有無が異なるほか、BIOS提供が5月10日になる製品もある。