Mettez votre ordinateur portable Lenovo à jour, c'est urgent !

14 novembre 2022 à 13h05
3
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© madartzgraphics/Pixabay

Trois failles de l'UEFI sur différents modèles de PC portables Yoga, IdeaPad et ThinkBook de Lenovo ont récemment été détectées.

Celles-ci permettraient de désactiver la fonction Secure Boot ou la restauration de la base de données du démarrage sécurité à son état d'usine, et ce, simplement depuis n'importe quel système d'exploitation.

L'UEFI de Lenovo vulnérable

Le fabricant rencontre décidément de nombreux problèmes de sécurité autour de son UEFI, le logiciel faisant le lien entre le firmware de ses appareils et le système d'exploitation. Il s'agirait depuis le début de l'année de la troisième série de failles repérées par Martin Smolar
, chercheur au sein de la firme de cybersécurité ESET.

Cette fois, les failles signalées s'attaqueraient à la fonctionnalité Secure Boot de l'UEFI d'appareils Lenovo tels que Yoga, IdeaPad et ThinkBook. Il s'agit pour rappel d'un mécanisme visant à empêcher des programmes malicieux d'être chargés durant le processus de démarrage.

Puisque l'UEFI a pour fonction de lancer le système d'exploitation lorsqu'un appareil est allumé, nombre de hackers y ont vu une cible de choix pour injecter des malwares difficiles à détecter et supprimer. Tel est malheureusement le cas pour Lenovo.

Trois nouvelles failles au compteur pour Lenovo

Lenovo répertorie et décrit les trois nouvelles failles de la manière suivante :

  • CVE-2022-3430 : une potentielle vulnérabilité dans le pilote d'installation WMI sur les appareils Lenovo Notebook, permettant à un pirate de modifier le paramètre de Secure Boot en changeant la variable NVRAM ;
  • CVE-2022-3431 : une potentielle vulnérabilité dans un pilote utilisé durant le processus de fabrication pour les appareils Lenovo Notebook, qui n'a pas été désactivé par erreur et permettant à un pirate de modifier encore Secure Boot via le même changement de variable ;
  • CVE-2022-3432 : une potentielle vulnérabilité sur un pilote utilisé durant le processus de fabrication sur le modèle IdeaPad Y700-14ISK, qui n'a pas été désactivé par inadvertance, avec le même résultat que les précédentes failles.

Lenovo s'échine donc à combler les deux premières failles citées, mais ne prévoit pas de correctif pour la dernière. Le modèle affecté par celle-ci aurait en effet atteint sa fin de vie. La marque recommande ainsi très sérieusement aux utilisateurs d'appareils potentiellement affectés d'installer la dernière mise à jour en date du firmware.

Sources : ESET Research via Twitter, Lenovo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
tfpsly
Certaines distributions supportent Secure Boot, mais c’est souvent plus simple de juste le virer.<br /> Wiki<br /> Secure Boot is supported by Windows 8 and 8.1, Windows Server 2012 and 2012 R2, Windows 10, Windows Server 2016, 2019, and 2022, and Windows 11, VMware vSphere 6.5 and a number of Linux distributions including Fedora (since version 18), openSUSE (since version 12.3), RHEL (since version 7), CentOS (since version 7), Debian (since version 10), and Ubuntu (since version 12.04.2). As of January 2017, FreeBSD support is in a planning stage.<br />
Bombing_Basta
Ça dépend les distributions.<br /> https://linuxhint.com/secure-boot-linux/
Voir tous les messages sur le forum

Derniers actualités

L'offre Disney+ plus abordable, mais avec de la pub, arrive... la hausse de prix aussi
Amazon brade son Fire TV Cube à quelques jours de Noël
C'est déjà Noël chez les VPN, découvrez le TOP 3 des promos du moment !
Fêtez Noël en musique avec l'enceinte Bluetooth JBL GO 3 à -25% chez Amazon
Ce pack Oppo Find X5 + écouteurs sans fil fera forcément plaisir sous le sapin !
Vente flash sur l'Apple Watch Series 8 chez Fnac avec en plus 40 € sur votre compte adhérent
Twitter va
Cdiscount vous propose un SSD 2,5
Grosse réduction sur le pack Amazon Echo Dot 5 avec une prise connectée Meross Smart Plug
Quand Amazon s'Inspire de TikTok : fausse bonne idée ou pas ?
Haut de page