Sono emerse vulnerabilità nel BIOS (più precisamente: UEFI) di ben oltre 70 modelli laptop Lenovo, tra cui ThinkBook, Yoga e IdeaPad: sono molto pericolosi perché sono quasi impossibili da rilevare o rimuovere. La società cinese ha pubblicato aggiornamenti per tutti i modelli, ma come sappiamo è una procedura delicata – magari non più pericolosa come una volta, ma va sempre eseguita manualmente e in generale non è consigliabile all’utente medio, soprattutto in ambito aziendale.
Le falle sono catalogate come CVE-2022-1890, CVE-2022-1891 e CVE-2022-1892. Colpiscono i driver ReadyBootDxe, SystemLoadDefaultDxe e SystemBootManagerDxe. I ricercatori osservano che è possibile eseguire codice non autorizzato fin dalle fasi iniziali di avvio della piattaforma, con il potenziale rischio di compromettere l’esecuzione del sistema operativo e disabilitare funzionalità di sicurezza fondamentali.