返回上一页  首页 | cnbeta报时: 16:13:34
联想笔记本曝UEFI零日漏洞 可绕过Windows安全机制
发布日期:2016-07-05 16:07:07  稿源:cnBeta.COM

独立安全研究员Dymtro Oleksiuk近日发现联想笔记本存在一个未被修复的UEFI零日漏洞,随后他发现其它一些OEM产品也被波及,包括惠普笔电和技嘉主板等部分产品。这 种漏洞存在于多款UEFI固件包里的系统管理模块(SMM)源代码中,能够绕开Windows 10内建的设备保护等安全保护机制

http://static.cnbetacdn.com/article/2016/0705/9fed6766968c66c.jpg

联想回应称,正在试图与Oleksiuk取得联系,因为他发表的言论是不真实的,而且存在问题的代码并不是由联想写的,而是由第三方公司提供的。漏洞存在于多种UEFI固件包里的系统管理模块(SMM)源代码中,Oleksiuk就此写了一段验证性代码“ThinkPwn”,这段代码目前运行于UEFI级别,可利用该漏洞关闭UEFI写保护,随后任意修改设备固件。甚至,安全启动选项也可以被关闭,Windows 10内建的设备保护等安全措施同样能被绕过。

联想回应称该漏洞并非来自自家代码,而是源于Intel提供的IBV(独立BIOS供应商)代码。

而Dmytro Oleksiuk则称这个漏洞并不新鲜,Intel工程师2014年就修复了,不知为何许多厂商的UEFI源码中包含了老版本漏洞。目前联想尚未提供针对此漏洞的修复。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。
查看网友评论   返回完整版观看

返回上一页  首页 | cnbeta报时: 16:13:34

文字版  标准版  电脑端

© 2003-2024