感謝網友 VrianCao 的線索投遞！

6 月 21 日消息，Phoenix SecureCore UEFI 固件被曝安全漏洞，影響數百款英特爾 CPU 設備，聯想目前已經發布了新的固件更新修復該漏洞。

從報道中獲悉，該漏洞追蹤編號為 CVE-2024-0762，被稱為“UEFICANHAZBUFFEROVERFLOW”，存在于 Phoenix UEFI 固件中的可信平臺模塊（TPM）配置中，是一個緩沖區溢出漏洞，可被利用在易受攻擊的設備上執行任意代碼。

該漏洞由 Eclypsium 發現，他們在聯想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代設備上發現了該漏洞，隨后向 Phoenix 公司確認，影響以下英特爾 CPU 的  SecureCore 固件：

• Alder Lake

• Coffee Lake

• Comet Lake

• Ice Lake

• Jasper Lake

• Kaby Lake

• Meteor Lake

• Raptor Lake

• Rocket Lake

• Tiger Lake

由于使用該固件的英特爾 CPU 數量眾多，該漏洞有可能影響聯想、戴爾、宏碁和惠普的數百款機型。

Eclypsium 稱，他們發現的漏洞是 Phoenix SecureCore 固件的系統管理模式（SMM）子系統中的緩沖區溢出，允許攻擊者覆蓋相鄰內存。

如果內存被正確的數據覆蓋，攻擊者就有可能提升權限并獲得固件中的代碼執行能力，從而安裝引導工具包惡意軟件。

Phoenix 公司于 4 月發布警告，聯想于 5 月發布新固件，修復了 150 多種不同機型的漏洞問題，不過其它廠商目前沒有完全跟進修復。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的联想 5 月已发补丁，Phoenix UEFI 固件漏洞披露：影响数百款英特尔 PC CPU 型号的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。