快科技6月21日消息，近日，Phoenix SecureCore UEFI 固件被曝存在一個(gè)嚴(yán)重的安全漏洞，該漏洞被追蹤編號(hào)為CVE-2024-0762，被命名為“UEFICANHAZBUFFEROVERFLOW”。

這一緩沖區(qū)溢出漏洞位于固件的可信平臺(tái)模塊（TPM）配置中，可能允許攻擊者在受影響的設(shè)備上執(zhí)行任意代碼。

該漏洞由安全研究公司Eclypsium發(fā)現(xiàn)，并在聯(lián)想ThinkPad X1 Carbon第7代和X1 Yoga第4代設(shè)備上得到確認(rèn)。

Phoenix公司已于4月發(fā)布警告，而聯(lián)想迅速響應(yīng)，于5月推出了新的固件更新，修復(fù)了150多種不同機(jī)型上的漏洞問題。

受影響的英特爾CPU型號(hào)包括Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake和Tiger Lake等。

由于這些CPU被廣泛應(yīng)用于聯(lián)想、戴爾、宏碁和惠普等品牌的數(shù)百款機(jī)型中，因此潛在的安全風(fēng)險(xiǎn)波及范圍廣泛。

Eclypsium指出，漏洞存在于Phoenix SecureCore固件的系統(tǒng)管理模式（SMM）子系統(tǒng)中，攻擊者可通過覆蓋相鄰內(nèi)存來提升權(quán)限，進(jìn)而可能安裝引導(dǎo)工具包惡意軟件，對(duì)設(shè)備安全構(gòu)成嚴(yán)重威脅。

不過雖然聯(lián)想已經(jīng)采取了修復(fù)措施，但其他廠商目前尚未完全跟進(jìn)。