Lenovo 安全公告：LEN-94533

潜在影响：权限提升

严重性：高

影响范围：全行业

CVE ID：CVE-2022-34301、CVE-2022-34302、CVE-2022-34303

摘要描述：

Lenovo 发现三个第三方引导加载程序中存在行业漏洞，这些漏洞可能允许具有物理或管理员访问权限的攻击者绕过安全引导这一安全强制实施，并允许在引导过程中执行未经授权的代码。

受影响的产品包括支持安全引导的 Lenovo 客户端和服务器产品。

从设计角度而言，当禁用安全引导时，所有的引导加载程序都将允许执行，无论是否存在漏洞。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

Lenovo 建议企业应用最新的 UEFI 撤销清单（DBX），以便解决这些漏洞并阻止存在漏洞的固件绕过安全引导。

可通过 Lenovo BIOS/UEFI 更新或您的 OS 供应商获取这些更新。

Lenovo 建议应用您的 OS 供应商提供的 DBX 更新。Microsoft 已发布安全更新 5012170，用于更新安全引导 DBX 文件。

此外，Lenovo 正在努力将安全引导 DBX 文件合并到未来的 BIOS/UEFI 包中。

Lenovo 还建议配置 BIOS 管理员/超级用户密码，以防止未经授权的引导设备更改。

参考资料：

资料一

资料二

产品影响：

待定