安全公告：LEN-30042 多供应商 BIOS 安全漏洞（2020 年 6 月）-联想乐享知识库

安全公告：LEN-30042 多供应商 BIOS 安全漏洞（2020 年 6 月） 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-30042 潜在影响：权限提升、拒绝服务、信息泄露 严重性：高 影响范围：全行业 CVE ID：CVE-2020-0529、CVE-2020-0528、CVE-2020-8320、CVE-2020-8321、CVE-2020-8322、CVE-2020-8323、CVE-2020-8331、CVE-2020-8334、CVE-2020-8336、CVE-2019-14561、CVE-2019-14562 摘要描述： Lenovo 尽量将多个 BIOS 安全修复程序和增强整合到尽可能少的更新中。以下漏洞列表来自供应商和研究人员的报告或我们在常规内部测试中的发现。并非所有在本公告“产品影响”部分中列出的产品都受本摘要中的所有 CVE 的影响。 AMI 发布了 AMI Aptio V BIOS 安全增强。未提供 CVE。 Intel 报告了 Intel 处理器 BIOS 固件中存在潜在安全漏洞，可能允许权限提升和/或拒绝服务。INTEL-SA-00322：CVE-2020-0529、CVE-2020-0528 有些 ThinkPad 型号中的 BIOS 映像包含一个内部 Shell，可能允许权限提升。CVE-2020-8320 在某些 Lenovo 笔记本电脑和 ThinkStation 型号上，System Lock Preinstallation 驱动程序内部使用的 SMI 回调函数中有一个潜在漏洞，可能允许任意代码执行。CVE-2020-8321 在某些 Lenovo 笔记本电脑和 ThinkStation 型号上，Legacy USB 驱动程序内部使用的 SMI 回调函数中有一个潜在漏洞，可能允许任意代码执行。CVE-2020-8322 在某些 Lenovo ThinkPad、ThinkStation 和 Lenovo 笔记本电脑型号上，Legacy SD 驱动程序内部使用的 SMI 回调函数中有一个潜在漏洞，可能允许任意代码执行。CVE-2020-8323 由于缺少 DMA 保护，某些 ThinkSystem 型号的 BIOS 配置中有一个潜在漏洞，可能使具有物理访问权限的用户能够对系统内存进行读写访问。CVE-2020-8331 Lenovo ThinkPad T495s、X395、T495、A485、A285、A475 和 A275 中未触发 BIOS 篡改检测机制，可能允许未经授权的访问。CVE-2020-8334 Lenovo 在某些 ThinkPad 型号上实施了 Intel CSME 防回滚 ARB 保护，目的是防止闪存中 CSME 固件的回滚。CVE-2020-8336 Phoenix 已发布针对 Phoenix BIOS 的安全增强来修复 SMI 处理程序漏洞。未提供 CVE - Phoenix 可以接受这样的描述吗？[Phoenix 安全 ID 100-001] TianoCore EDK II BIOS 中的多个缓冲区验证漏洞可能导致拒绝服务。CVE-2019-14561、CVE-2019-14562 解决方案: 应采取哪些措施进行自我保护： 将系统固件升级到以下“产品影响”部分中针对您的产品型号列出的版本（或更高版本）。 产品影响： 此处是获取详细信息的链接。 致谢： CVE-2020-8321、CVE-2020-8322、CVE-2020-8323：Lenovo 感谢 yngwei（@yngweijw）、driedfish（@d3af1sh）以及 IIE VARAS 的 Li MengHao CVE-2020-8320：Lenovo 感谢 SkySafe Inc. 的 Avery Mosher CVE-2020-8334：Lenovo 感谢 Zoltan Harmath CVE-2020-8336：Lenovo 感谢 Positive Technologies 的 Maxim Goryachy 和 Mark Ermolov 参考资料： https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00322.html https://bugzilla.tianocore.org/show_bug.cgi?id=2215 https://bugzilla.tianocore.org/show_bug.cgi?id=2175 https://bugzilla.tianocore.org/show_bug.cgi?id=2176 修订历史： 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。