UEFI EDK2 Capsule 更新漏洞-联想乐享知识库

UEFI EDK2 Capsule 更新漏洞 问题:文件加密 Lenovo 安全公告：LEN-2014-001 潜在影响：执行任意代码 重要性：中 摘要： EDK2 UEFI 参考实现包含 Capsule 更新机制中的多个漏洞。 描述： 开源 EDK2 项目提供了 Unified Extensible Firmware Interface（UEFI）的参考实现。已发现 EDK2 Capsule 更新机制中存在多个漏洞。 Capsule 处理阶段的缓冲区溢出 - CVE-2014-4859 在 UEFI 引导过程的驱动器执行环境（DXE）阶段，会在处理过程中对 Capsule 图形进行解析。Capsule 处理阶段存在整数溢出漏洞，可能造成分配的缓冲区过小。因此，攻击者所控制的数据可能会写入缓冲区边界以外。 合并阶段的写入内容和写入位置条件 - CVE-2014-4860 在 UEFI 引导过程的预 EFI 初始化（PEI）阶段，Capsule 更新会合并成其原始形式。合并阶段存在多个整数溢出漏洞，可用于触发写入内容和写入位置条件。 解决方案: 受影响的产品： ThinkPad 系统 状态 最低 BIOS 版本，包括修复程序 发布网址 ThinkPad Edge E130 受到影响 H4ET93WW （2.53） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-edge-e130/downloads/DS029430 ThinkPad Edge E145 受到影响 HSET58WW （2.03） http://support.lenovo.com/my/ms/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-edge-e145/downloads/DS036720 ThinkPad Edge E431/E531 受到影响 HEET47WW （1.28） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-edge-e431/downloads/DS035124 ThinkPad Edge E440/E540 受到影响 J9ET93WW （2.13） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-edge-e440/downloads/DS037207 ThinkPad Edge E455/E555 受到影响 HTET35WW （1.07） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e455/downloads/DS100990 ThinkPad Edge S430 受到影响 GAET98WW （2.58） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-edge-s430/downloads/DS029726 ThinkPad Helix 受到影响 GFET50WW （1.29） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-helix-series-laptops/thinkpad-helix-type-3xxx/downloads/DS034627 ThinkPad L430/L530 受到影响 G3ETA2WW （2.62） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-l-series-laptops/thinkpad-l530/downloads/DS029124 ThinkPad L440/L540 受到影响 J4ET69WW （1.69） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-l-series-laptops/thinkpad-l440/downloads/DS037206 ThinkPad S1 Yoga（非 vPro） 受到影响 GQET38WW （1.18） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-yoga-series-laptops/thinkpad-yoga/downloads/DS038334 ThinkPad S1 Yoga（vPro） 受到影响 B0ET22WW （1.09） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-yoga-series-laptops/thinkpad-yoga/downloads/DS038334 ThinkPad S431 受到影响 HFET34WW （1.11） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-s-series-laptops/thinkpad-s431/downloads/DS035164 ThinkPad S440 受到影响 J3ET60WW （1.60） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-s-series-laptops/thinkpad-s440/downloads/DS036070 ThinkPad S531 受到影响 GKET33WW （1.13） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-s-series-laptops/thinkpad-s531/downloads/DS035584 ThinkPad S540 受到影响 GPET59WW （1.59） http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-s-series-laptops/thinkpad-s540/downloads/DS038373 ThinkPad T430 受到影响 G1ETA6WW （2.66） ht