聯想超70款筆記本電腦被曝新型UEFI固件漏洞；美國網絡安全審查委員會首份報告： Log4j漏洞要十余年才能修完； - 網安

聯想超70款筆記本電腦被曝新型UEFI固件漏洞

據Bleeping Computer網站7月13日消息，由聯想生產的超70款筆記本電腦正受三個 UEFI 固件緩沖區溢出漏洞的影響，這些漏洞能讓攻擊者劫持Windows系統并執行任意代碼。

據悉，這三個漏洞由安全軟件公司ESET的分析師發現，并已經將其報告給了聯想。根據聯想的披露，這三個中等嚴重級別的漏洞分別為CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一個為聯想部分筆記本產品使用的ReadyBootDxe驅動的問題，后兩個是SystemLoadDefaultDxe驅動的緩沖區溢出漏洞，該驅動被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款電腦型號。

ESET的分析師表示，這些漏洞是由于傳遞給 UEFI 運行時服務函數 GetVariable 的 DataSize 參數驗證不充分引起，攻擊者可以創建一個特制的 NVRAM 變量，導致第二個 GetVariable 調用中數據緩沖區的緩沖區溢出。

【圖：觸發利用CVE-2022-1892的變量】

總體而言，利用UEFI 固件漏洞的攻擊非常危險，能讓攻擊者在操作系統剛啟動時運行惡意軟件，甚至在 Windows 內置安全保護被激活之前，從而繞過或禁用操作系統級別的安全保護、逃避檢測，并且即使在磁盤格式化后仍然存在。對于一些經驗豐富的攻擊者，能夠利用這些漏洞執行任意代碼，對設備系統產生難以預估的影響。

為了解決這一風險，官方建議受影響設備的用戶通過官網下載適用于其產品的最新驅動程序版本。

美國網絡安全審查委員會首份報告： Log4j漏洞要十余年才能修完；

美國網絡安全審查委員會發布首份報告指出，去年年底曝光的Log4j漏洞已成為“流行病”，將在未來十年甚至更長時間持續引發風險；

這份報告耗時約五個月，調研了約80個組織，并與行業、外國政府及安全專家開展交流，還包括漏洞發現者所在國家中國政府；

該委員會提出了19條建議，以供各實體在Log4j漏洞威脅下采用。

安全內參7月15日消息，美國網絡安全審查委員會昨日表示，去年年底曝光的Log4j漏洞已成“流行病”，將在未來多年引發持續風險。

美國總統拜登在2021年創建網絡安全審查委員會（類似于國家運輸安全委員會），由國土安全部負責。其目的是對網絡事件進行審查，檢查根本原因，并在必要時提出建議，改革聯邦政府內的網絡安全方法。

網絡安全審查委員會在首份報告中發現，盡管聯邦政府及各私營組織一直在努力保護自身網絡，但Log4j已經成為一大“持續性流行漏洞”。換言之，這種無所不在的軟件庫的未經修復版本，將在未來十年或更長時間內繼續留存在各類系統當中。

國土安全部負責政策的副部長兼審查委員會主席羅布·西爾弗斯（Rob Silvers）在7月13日的電話會議上告訴記者，“此次事件并未平息，風險依然存在。網絡防御者必須繼續保持警惕。”

網絡安全審查委員會的這份報告耗時約五個月。審查委員會共有15名成員，大致仿照美國國家運輸安全委員會的形式，由來自公共和私營部門的官員組成。今年2月，他們受命深入研究Log4j缺陷的來龍去脈，并結合世界各地的反應為數字安全社區總結出可資借鑒的經驗教訓。

西爾弗斯表示，委員會成員共采訪了約80個組織，并與行業、外國政府及安全專家開展了信息交流。

該委員會還與中國政府的代表進行了溝通，因為最初發現并上報這個開源軟件工具漏洞的，正是阿里巴巴的工程師。

報告的最后部分，審查委員會提出了19條建議，以供各實體在Log4j漏洞威脅下采用。

圖：精簡版建議

谷歌安全工程副總裁兼委員會副主席希瑟·阿德金斯（Heather Adkins）表示，他們還鼓勵提高網絡社區的安全標準，特別是開發者“資源匱乏”且主要是志愿者的開源領域。

她提到，“我們希望此次研究結果能夠給社區帶來啟發，其中的結論并不讓人意外，也具有實踐指導意義。”

在一份聲明當中，國土安全部長亞歷杭德羅·馬約卡斯（Alejandro Mayorkas）表示，此項檢查為政府和行業提供了“明確且可操作的建議。國土安全部將實施這些建議以加強我們的網絡彈性，并推進對于集體安全至關重要的公私合作伙伴關系。”

文章來源：安全內參、FreeBuf.com