0571-85175569
部分联想IdeaCentre和Yoga一体机系统中存在严重漏洞,可能使具有本地高权限的攻击者能够执行任意代码并访问敏感系统信息。这些漏洞影响特定联想台式机和一体机型号中使用的InsydeH2O BIOS实现,CVSS评分介于6.0至8.2之间,表明存在高风险。
这些安全漏洞主要围绕系统管理模式(SMM)漏洞,可能使攻击者获得前所未有的系统资源访问权限。这些问题共分配了六个不同的通用漏洞披露(CVE)标识符,每个漏洞的CVSS评分均为最高的8.2分。
CVE-2025-4421:SMM CPU协议服务中的内存损坏漏洞,允许攻击者在分配的内存边界之外写入数据,可能覆盖关键系统代码
CVE-2025-4422:SMM平台配置数据库协议中的越界写入漏洞,使攻击者能够破坏内存并执行恶意代码
CVE-2025-4423:设置自动化模块中的缓冲区溢出漏洞,允许攻击者在高权限的SMM环境中注入并执行任意代码
CVE-2025-4424:输入验证缺陷,允许攻击者使用恶意参数对系统变量函数进行未经授权的调用,可能改变系统配置
CVE-2025-4425:系统中断处理程序中的基于栈的缓冲区溢出漏洞,可被利用来覆盖返回地址并执行攻击者控制的代码
CVE-2025-4426:信息泄露漏洞,将受保护的系统管理内存(SMRAM)中的敏感数据泄露给未经授权的进程
所有漏洞都需要高权限(本地管理员访问)才能利用,但一旦执行可能导致系统完全被攻陷。通过协调披露发现这些漏洞的BINARLY研究团队强调了这些SMM级安全漏洞的关键性质。
服务热线