安全公告LEN-49266：多供应商 BIOS 安全漏洞（2020 年 11 月）-联想知识库

联想服务 Think服务大客户服务联想官网

安全公告LEN-49266：多供应商 BIOS 安全漏洞（2020 年 11 月）

小新系列2020-11-27知识编号：193056

催更新

故障现象:

Lenovo 安全公告：LEN-49266

潜在影响：信息泄露、权限提升、拒绝服务

严重性：高

影响范围：全行业

CVE ID：CVE-2020-0587、CVE-2020-0588、CVE-2020-0590、CVE-2020-0591、CVE-2020-0592、CVE-2020-0593、CVE-2020-1025、CVE-2020-1289、CVE-2020-1292、CVE-2020-2963、CVE-2020-8694、CVE-2020-8695、CVE-2020-8696、CVE-2020-8698、CVE-2020-8352、CVE-2020-8354

摘要描述：

Lenovo 尽量将多个 BIOS 安全修复程序和增强整合到尽可能少的更新中。以下漏洞列表来自供应商和研究人员的报告或我们在常规内部测试中的发现。并非所有在本公告“产品影响”部分中列出的产品都受本摘要中的所有 CVE 的影响。

AMD 报告了一个潜在漏洞，该漏洞可能会影响 AMD 的 TPM 使用 USE_DA_USED 版本标记实现非有序关机 failedTries。CVE-2020-12926（AMD）、CVE-2020-29633（TCG）

AMD 报告了某些 AMD 笔记本电脑或嵌入式处理器中存在潜在漏洞，可能导致权限提升。CVE-2020-12890

AMI 发布了 AMI Aptio V BIOS 安全增强。未提供 CVE

Intel 报告了某些 Intel® 处理器的 BIOS 固件中存在潜在的安全漏洞，可能导致权限提升或拒绝服务。INTEL-SA-00358：CVE-2020-0587、CVE-2020-0588、CVE-2020-0590、CVE-2020-0591、CVE-2020-0592、CVE-2020-0593

Intel 报告了某些 Intel® 处理器中存在潜在安全漏洞，可能导致信息泄露。INTEL-SA-00381：CVE-2020-8696、CVE-2020-8698

Intel 报告了 Intel® Running Average Power Limit（RAPL）接口中存在潜在安全漏洞，可能导致信息泄露。INTEL-SA-00389：CVE-2020-8694、CVE-2020-8695

在某些 Lenovo 笔记本电脑型号上，VariableServiceSmm 驱动程序中使用的 SMI 回调函数中存在一个潜在漏洞，可能导致任意代码执行。CVE-2020-8354

在某些 Lenovo 台式机型号中，“配置更改检测 BIOS”设置无法检测 SATA 配置更改。CVE-2020-8352

Phoenix 已发布针对 Phoenix BIOS 的安全增强。未提供 CVE

解决方案:

应采取哪些措施进行自我保护：

将系统固件升级到“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。

产品影响：

要下载下面为您产品指定的版本，请执行以下步骤：

导航到您产品的 Drivers & Software（驱动程序和软件）支持站点：