信息來(lái)源:hackernews
外媒 2 月 10 日消息�,根據(jù)聯(lián)想發(fā)布的安全建議����,Broadcom 芯片組中的兩個(gè)關(guān)鍵漏洞至少影響了 25 款 ThinkPad 設(shè)備�����。遠(yuǎn)程攻擊者可以利用這些漏洞在目標(biāo)系統(tǒng)的適配器(而不是系統(tǒng)的 CPU)上執(zhí)行任意代碼����。目前聯(lián)想表示已在其產(chǎn)品中修復(fù)了這些漏洞,并敦促用戶(hù)及時(shí)更新���。
CVE-2017-11120:內(nèi)存破壞漏洞
攻擊者可利用該漏洞在目標(biāo)設(shè)備上執(zhí)行代碼并建立后門(mén)程序���。 聯(lián)想警告稱(chēng), 24 款 ThinkPad 機(jī)型存在該種缺陷��,這些機(jī)型都有一個(gè)共同特點(diǎn):它們都使用了 Broadcom 的 BCM4356 無(wú)線(xiàn)局域網(wǎng)驅(qū)動(dòng)程序�。
CVE-2017-11121:緩沖區(qū)溢出漏洞
該漏洞是由于對(duì) Wi-Fi 信號(hào)進(jìn)行不正確的驗(yàn)證而導(dǎo)致的。據(jù)研究專(zhuān)家介紹�����,精心制作的惡意無(wú)線(xiàn)快速轉(zhuǎn)換幀可能會(huì)觸發(fā)內(nèi)部 Wi-Fi 固件堆棧和者堆棧溢出��,從而導(dǎo)致出現(xiàn)拒絕服務(wù)等情況���。目前聯(lián)想已修復(fù)該漏洞����,并敦促用戶(hù)為其 ThinkPad 更新 Wi-Fi 驅(qū)動(dòng)程序。
有關(guān)專(zhuān)家認(rèn)為聯(lián)想 ThinkPad 設(shè)備的這兩個(gè)漏洞是非常關(guān)鍵的��,因此將其評(píng)定為 CVSS 10 分��。
受影響的型號(hào)有 ThinkPad 10���、ThinkPad L460、ThinkPad P50s�����、ThinkPad T460�、ThinkPad T460p、ThinkPad T460s�����、ThinkPad T560��、ThinkPad X260 和 ThinkPad Yoga 260�。
漏洞相關(guān)報(bào)告:
CVE-2017-11120 細(xì)節(jié)
CVE-2017-11121 細(xì)節(jié)
