Vous avez un ordinateur portable Lenovo ? Vous devrez peut-être appliquer rapidement des correctifs à en juger par le dernier ensemble de vulnérabilités découvertes par les chercheurs en sécurité d’ESET. Trois vulnérabilités ont été signalées aujourd’hui : CVE-2021-3970, CVE-2021-3971 et CVE-2021-3972.
« Les menaces UEFI peuvent être extrêmement furtives et dangereuses », a déclaré le chercheur d’ESET Martin Smolár, qui a découvert les vulnérabilités.
L’avis de Lenovo décrit CVE-2021-3970 comme une « vulnérabilité potentielle dans Lenovo Variable SMI Handler en raison d’une validation insuffisante dans certains modèles d’ordinateurs portables Lenovo[that] peut permettre à un attaquant disposant d’un accès local et de privilèges élevés d’exécuter du code arbitraire. »
ESET a signalé les dernières vulnérabilités à Lenovo en octobre de l’année dernière et indique que la liste des appareils concernés compte plus d’une centaine de modèles avec des millions d’utilisateurs dans le monde.
Selon ESET, Lenovo a confirmé les vulnérabilités le 17 novembre 2021 et les CVE ont été attribués.
Le registre a contacté Lenovo pour un commentaire au-delà de son avis, mais la société n’a pas encore répondu.