A Lenovo három biztonsági hibáról adott ki gyártói közleményt, amelyek közül kettő (CVE-2021-3971, CVE-2021-3972) lehetőséget teremt arra, hogy a támadó kikapcsolja az UEFI Secure Bootot, ami biztosítja, hogy a boot folyamat során csak a gyártó által megbízhatónak tartott kód töltődhessen be. A harmadik hiba (CVE-2021-3970) egy helyi támadó számára tetszőleges kód emelt jogosultsággal történő futtatására ad lehetőséget. A biztonsági hibákat felfedező ESET a sérülékenységekről egy bővebb technikai elemzést is közzétett.
(Az UEFI-t érintő biztonsági hibák azért veszélyesek, mert nehezen detektálhatóak, kihasználásuk pedig a támadó számára lehetővé teheti az operációs rendszer szintű biztonsági megoldások kijátszását. Erre pedig az elmúlt évek során már több példa is ismertté vált, például a Lojax (2018) és az ESPecter (2021) malware-ek.)
A sebezhetőségek legalább 100 konzumer Lenovo laptop modellt érintenek, beleértve például a népszerű IdeaPad 3, Legion 5 Pro-16ACH6 H, és Yoga Slim 9-14ITL05-ös modelleket. A teljes lista a gyártó oldalán itt érhető el.
Az érintett eszközök tulajdonosai számára javasolt a legfrissebb UEFI firmware verzió telepítése, amelyet a gyártó weboldalán a terméktípusra vagy szériaszámra keresve, majd a bal oldali menüben a Drivers & Software support menüpontra kattintva érhetnek el.
