Lenovo corrige des failles UEFI alarmantes affectant plus de 100 ordinateurs portables, mettez-les à jour dès que possible.



Nous allons être clairs dès le départ : il est vrai que ces exploits de sécurité nécessitent un accès local, et de ce fait, le besoin urgent de mise à jour peut être un peu exagéré. Dans ce cas, cependant, l'excitation est moins liée à l'ampleur des vulnérabilités qu'à leur gravité.







Si vous ne vous y retrouvez pas, sachez que Lenovo a publié le 18 avril un document avertissant ses clients de l'existence de trois graves vulnérabilités dans son micrologiciel système sur une grande variété de ses ordinateurs portables grand public. (Aucun des modèles ThinkPad ou ThinkBook n'est concerné.) Ces vulnérabilités pourraient permettre à un attaquant local de modifier le micrologiciel, ce qui lui permettrait d'intégrer un malware directement dans l'eprom UEFI de la carte système.



C'est terrible pour toutes sortes de raisons. Les logiciels malveillants fonctionnant au niveau du microprogramme UEFI sont extrêmement difficiles à détecter à partir du système d'exploitation, et ils ont un accès total à tout ce qui se trouve sur le système. L'une des autres vulnérabilités nécessite un accès local et des privilèges élevés, mais elle pourrait être utilisée pour échapper aux sandboxes de virtualisation, ce qui est également troublant.



Heureusement, à peine quatre jours plus tard, Lenovo dispose de correctifs pour la plupart des systèmes concernés. Vous pouvez vous rendre sur le site de lenovo pour vérifier votre modèle spécifique et voir si vous êtes concerné. Une simple mise à jour du BIOS suffit pour résoudre les problèmes.



HOTHARDWARE