Windows安全协议成空气联想再曝UEFI零日漏洞

7月6日消息，在今年6月份联想发布了一份安全公告，公告中指出该公司在超过110个型号的笔记本电脑和台式机中预装的Lenovo Accelerator Application存在安全漏洞，主要表现是联想PC会偷偷下载自家升级软件(被卸载后又会自动安装)，当中甚至还存在安全漏洞。独立安全研究员Dymtro Oleksiuk近日发现联想笔记本存在一个未被修复的UEFI零日漏洞，随后他发现其它一些OEM产品也被波及，包括惠普笔电和技嘉主板等部分产品。这 种漏洞存在于多款UEFI固件包里的系统管理模块(SMM)源代码中，能够绕开Windows 10内建的设备保护等安全保护机制

　　联想回应称，正在试图与Oleksiuk取得联系，因为他发表的言论是不真实的，而且存在问题的代码并不是由联想写的，而是由第三方公司提供的。漏洞存在于多种UEFI固件包里的系统管理模块(SMM)源代码中，Oleksiuk就此写了一段验证性代码“ThinkPwn”，这段代码目前运行于UEFI级别，可利用该漏洞关闭UEFI写保护，随后任意修改设备固件。甚至，安全启动选项也可以被关闭，Windows 10内建的设备保护等安全措施同样能被绕过。

联想

　　联想回应称该漏洞并非来自自家代码，而是源于Intel提供的IBV(独立BIOS供应商)代码。

　　联想表示，他们的工程师没有开发此类易受攻击的SMM代码，而是由与英特尔合作的第三方公司提供，然后在英特尔的IBV之 上添加UEFI代码。其中IBV支持独立BIOS供应商，现成的代码包集成在BIOS和UEFI上，以确保与其他设备组件间的兼容性。

　　这个漏洞早在2014年就被Intel工程师修复，但不知为何又出现在UEFI之中。联想官方称目前正在调查该问题，并将与合作伙伴共同努力，尽快修复。可以到雨林木风u盘启动制作工具的官网：www.ylmfpe.com 咨询客服，更多精彩内容继续关注。本文由雨林木风u盘启动盘整理发布