联想 5 月已发补丁，Phoenix UEFI 固件漏洞披露：影响数百款英特尔 PC CPU 型号

感谢网友 VrianCao 的线索投递！

6 月 21 日消息，Phoenix SecureCore UEFI 固件被曝安全漏洞，影响数百款英特尔 CPU 设备，联想目前已经发布了新的固件更新修复该漏洞。

从报道中获悉，该漏洞追踪编号为 CVE-2024-0762，被称为“UEFICANHAZBUFFEROVERFLOW”，存在于 Phoenix UEFI 固件中的可信平台模块（TPM）配置中，是一个缓冲区溢出漏洞，可被利用在易受攻击的设备上执行任意代码。

该漏洞由 Eclypsium 发现，他们在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代设备上发现了该漏洞，随后向 Phoenix 公司确认，影响以下英特尔 CPU 的  SecureCore 固件：

Alder Lake

Coffee Lake

Comet Lake

Ice Lake

Jasper Lake

Kaby Lake

Meteor Lake

Raptor Lake

Rocket Lake

Tiger Lake

由于使用该固件的英特尔 CPU 数量众多，该漏洞有可能影响联想、戴尔、宏碁和惠普的数百款机型。

Eclypsium 称，他们发现的漏洞是 Phoenix SecureCore 固件的系统管理模式（SMM）子系统中的缓冲区溢出，允许攻击者覆盖相邻内存。

如果内存被正确的数据覆盖，攻击者就有可能提升权限并获得固件中的代码执行能力，从而安装引导工具包恶意软件。

Phoenix 公司于 4 月发布警告，联想于 5 月发布新固件，修复了 150 多种不同机型的漏洞问题，不过其它厂商目前没有完全跟进修复。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，所有文章均包含本声明。

投诉水文 我要纠错