A Lenovo comprou a unidade de negócio de computadores pessoais à IBM em 2005. E, desde essa altura, expandiu o portefólio com vários modelos para segmentos de mercado diferentes. Como os computadores para jogos Legion, smartphones e servidores. Mas, como qualquer fabricante de computadores, a Lenovo não está a salvo de ter problemas com a segurança do firmware dos seus produtos.
O problema de segurança mais recente foi descoberto pela empresa especialista em em produtos de cibersegurança ESET. Aparentemente, em alguns modelos de computadores portáteis da Lenovo, o firmware UEFI permite desligar a funcionalidade UEFI Secure Boot ou restaurar as bases de dados padrão desta funcionalidade, tudo a partir do sistema operativo.
Se o utilizador tiver acesso à BIOS do computador, estas alterações podem ser feitas manualmente. Mas nunca deve ser possível fazer estas alterações a partir do sistema operativo. A ESET disse que esta vulnerabilidade permite aceder aos bootloaders, o que é um problema de segurança grave, se não estiver a fazê-lo de propósito.
#ESETResearch discovered and reported to the manufacturer 3 vulnerabilities in the #UEFI firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS. @smolar_m 1/9
— ESET research (@ESETresearch) November 9, 2022
Segundo as publicações da ESET na rede social Twitter, os dispositivos afectados incluem vários modelos de computadores portáteis Yoga, ThinkPad e IdeaPad. A Lenovo informou entretanto, que já estão disponíveis actualizações de firmware para resolver este problema de segurança.
Como esta actualização da BIOS, é muito pouco provável que seja distribuída através da funcionalidade de actualizações do sistema operativo. Por isso, os utilizadores de computadores com Windows devem usar o software Lenovo Vantage, que vem incluído com os dispositivos, ou descarregar o firmware manualmente. Também é aconselhado fazer-se uma cópia de segurança dos dados antes de se fazer a actualização.
A Lenovo publicou um artigo sobre o problema, uma lista completa dos modelos afectados e links para as actualizações para as BIOS.
