联想(Lenovo)近日发布警告,称在联想IdeaCentre和Yoga一体机中发现多个BIOS安全漏洞。支持文档指出,本地攻击者可在系统管理模式(SMM)中执行恶意代码。
由于该权限级别甚至高于内核层级,此类入侵通常难以被察觉且不可逆。即便完全重装系统,也无法检测和清除已注入的深层恶意软件,使得这些漏洞具有极高危险性。
受影响的联想机型
这些编号为CVE-2025-4421至CVE-2025-4426的漏洞由Binarly安全研究人员发现,并于今年4月上报联想,其中四个漏洞被评定为高危级别。
经联想确认,以下型号存在风险:
联想IdeaCentre AIO 3 24ARR9
联想IdeaCentre AIO 3 27ARR9
联想Yoga AIO 27IAH10
联想Yoga AIO 32ILL10
联想Yoga AIO 9 32IRH8
漏洞源于Insyde(台湾系微公司)提供的BIOS固件。由于其他厂商设备未使用该特定UEFI版本,故不受影响。
应对措施
联想正在为这些安全漏洞开发完整补丁,但目前仅适用于两款IdeaCentre机型。Yoga一体机用户需等待至今年9月才能获得对应更新。
用户可通过以下步骤获取补丁:
访问联想支持网站,搜索设备具体型号
点击“驱动与软件”→“手动更新”
对照支持文档中的最低版本要求与网站发布的最新版本
下载安装最新固件
已安装联想更新管理工具的用户可直接通过该工具升级。在补丁发布前,建议用户使用可靠杀毒软件并定期检查系统安全状态以降低风险。
