A fabricante de eletrônicos de consumo Lenovo lançou na terça-feira (13) correções para conter três falhas de segurança em seu firmware UEFI que afetam mais de 70 modelos de produtos.

“As vulnerabilidades podem ser exploradas para alcançar a execução arbitrária de código nas fases iniciais da inicialização da plataforma, possivelmente permitindo que os invasores sequestrem o fluxo de execução do sistema operacional e desativem alguns recursos de segurança importantes”, disse a empresa de segurança cibernética ESET em uma série de tweets.

Rastreados como CVE-2022-1890, CVE-2022-1891 e CVE-2022-1892, todos os três bugs estão relacionados a vulnerabilidades de estouro de buffer que foram descritas pela Lenovo levando ao escalonamento de privilégios nos sistemas afetados. Esta é a segunda vez que a Lenovo se move para resolver vulnerabilidades de segurança UEFI desde o início do ano.

Em abril, a empresa resolveu três falhas de segurança que poderiam ter sido abusadas para implantar e executar implantes no firmware.