レノボ製ノートのBIOSに脆弱性。修正を提供中

ThinkBook 13s

　レノボは、同社製ノート「IdeaPad」や「ThinkBook」シリーズなどのノートPCのBIOSに影響度が中程度の権限昇格の脆弱性があるとし、修正BIOSを提供している。脆弱性は3つで、ローカル権限を持つ攻撃者が任意のコードを実施できる可能性があるという。

• CVE-2022-1890:ReadyBootDxeドライバでバッファオーバーフローの脆弱性
• CVE-2022-1891:SystemLoadDefaultDxeドライバでバッファオーバーフローの脆弱性
• CVE-2022-1892:SystemBootManagerDxeドライバでバッファオーバーフローの脆弱性

　これらの脆弱性はESETのMartin Smolar氏が発見した。対象機種は「Lenovo 100e Gen2」、「Lenovo 14W Gen 2」、「Lenovo Flex 5」、「IdeaPad 1」、「IdeaPad 3」、「IdeaPad Flex 5」、「Legion S7」、「ThinkBook 13s」、「ThinkBook 14」、「ThinkBook 14s」、「Yoga C640」、「Yoga S730」、「Yoga S940」、「Yoga Slim 7 Pro」、「ideapad 5」など。

　このうちCVE-2022-1892は対象の全機種が影響を受ける。CVE-2022-1890ならびにCVE-2022-1891はThinkBook 14とThinkBook 15のみが影響を受ける。