Theo SecurityWeek, các nhà nghiên cứu tại công ty an ninh mạng ESET đã phát hiện ba lỗ hổng tràn bộ đệm có thể cho phép kẻ tấn công có đặc quyền cục bộ đối với các thiết bị Lenovo bị ảnh hưởng thực thi mã tùy ý. Tuy nhiên, Lenovo cho biết chỉ một trong số các lỗ hổng (CVE-2022-1892) ảnh hưởng đến toàn bộ thiết bị, trong khi hai lỗ hổng còn lại chỉ ảnh hưởng đến một số ít model.
ESET nói các lỗ hổng có thể bị khai thác để thực thi mã tùy ý trong quá trình khởi động, cho phép hacker tấn công luồng thực thi của hệ điều hành và vô hiệu hóa một số tính năng bảo mật quan trọng.
Lỗ hổng do không đủ xác thực DataSize được truyền cho chức năng GetVariable của UEFI Runtime Services. Kẻ tấn công có thể tạo một biến NVRAM được chế tạo đặc biệt gây tràn bộ đệm Dữ liệu trong lần gọi GetVariable thứ hai.
Lenovo cũng đã cảnh báo về Retbleed, hình thức tấn công mới ảnh hưởng đến các thiết bị sử dụng bộ vi xử lý Intel và AMD. Công ty cũng đã đưa ra lời khuyên cho một số lỗ hổng ảnh hưởng đến nhiều sản phẩm sử dụng công cụ quản lý máy chủ XClarity Controller. Lỗi cho phép người dùng được xác thực gây ra tình trạng DoS hoặc tạo kết nối trái phép đến các dịch vụ nội bộ.
Các lỗ hổng trong firmware không phải là hiếm. Một số là đặc thù cho các sản phẩm của một vài nhà cung cấp. Nhưng các nhà nghiên cứu đã phát hiện các lỗ hổng của bên thứ ba được nhiều nhà sản xuất sử dụng.
Đơn cử trường hợp Binarly gần đây đã xác định được gần 20 lỗ hổng trong mã phần mềm InsydeH2O UEFI được sử dụng bởi hơn 25 nhà cung cấp, bao gồm HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull và Siemens.
Mặc dù Insyde Software - nhà sản xuất InsydeH2O - đã vá các lỗ hổng sau khi được thông báo, nhưng cần một thời gian cho đến khi các bản sửa lỗi được các nhà sản xuất thông qua để đưa đến hàng triệu người dùng.