联想匆忙去修正一个高危BIOS漏洞

独立研究员Dmytro Oleksiuk在GitHub上公开了联想ThinkPad的一个BIOS漏洞（或后门），该漏洞允许攻击者关闭固件的写保护，感染固件，关闭 Secure Boot，绕过Windows 10企业版的Virtual Secure Mode。联想已经发表安全通知，证实了这一高危漏洞，声称在Oleksiuk公开漏洞前他们尝试联络过他但没有成功。Oleksiuk相信其它PC制造商可能也存在该漏洞，因为有bug的代码源自英特尔，联想固件的SystemSmmRuntimeRt UEFI驱动代码是直接拷贝自英特尔的参考代码。联想声称，存在漏洞的代码是上游 BIOS供应商提供的。联想表示正与BIOS供应商和英特尔合作判断漏洞代码的最初目的（是否是后门？），以及是否还存在其他漏洞。