Pokud máte notebook Lenovo, určitě si zkontrolujte aktualizace, protože Lenovo právě vydalo bezpečnostní opravy pro kritickou zranitelnost v biosu, která umožňuje hackerům kompletní ovládnutí počítače bez možnosti detekce antivirem a navíc s rizikem toho, že případný malware nepůjde odstranit.
Zranitelnosti s označením CVE-2021-3971 a CVE-2021-3972 umožňují útočníkovi upravit ovladače firmwaru UEFI, které jsou uložené v samostatné flash paměti. Inženýři Lenova omylem vypustili ovladače v produkčních obrazech BIOSu, takže mohou hackeři najít zranitelnosti a využít je k odstranění zabezpečení v rámci UEFI zabezpečeného bootování a SPI ještě před zaváděním operačního systému. Třetí zranitelnost CVE-2021-3970 se pak týká možnosti spuštění upraveného firmwaru, když je notebook ve speciálním módu pro systémové ovládání.
Lenovo opravy vydalo pro více než 100 modelů notebooků a reálně jde o více než milion kusů notebooků, které mají tuto zranitelnost. Jak informoval web Ars Technica, podobné zranitelnosti využívající firmware UEFI a SPI, jsou stále rozšířenější a už je využívají i některé malwary, například ruský Lojax, Trickbox a speciální druh, který napadal notebooky a počítače diplomatů v Asii.
