近期，知名科技新聞平臺bleepingcomputer披露了一則關(guān)于聯(lián)想的重要安全更新信息。據(jù)該報道，聯(lián)想迅速響應(yīng)，發(fā)布了一項針對其UEFI（統(tǒng)一可擴展固件接口）固件的緊急更新，旨在修補一系列高危安全漏洞。

聯(lián)想官方發(fā)出安全警報，指出采用定制版Insyde UEFI固件的一系列一體機桌面電腦正面臨嚴重的安全威脅。受影響設(shè)備范圍廣泛，具體型號包括IdeaCentre AIO 3系列的24ARR9和27ARR9，以及Yoga AIO系列的27IAH10、32ILL10和32IRH8等。

這些漏洞由安全研究公司Binarly發(fā)現(xiàn)，它們允許本地黑客在系統(tǒng)管理模式（SMM）下執(zhí)行任意代碼。SMM是CPU的一種特殊模式，其運行層級低于操作系統(tǒng)和虛擬機管理器，擁有更高的權(quán)限。一旦攻擊者利用SMM中的漏洞，就能植入幾乎無法被檢測的惡意軟件，并輕易繞過安全啟動等操作系統(tǒng)級別的安全防御機制。

以下是六個已確認漏洞的詳細信息：

CVE-2025-4421漏洞允許攻擊者通過EfiSmiServices的Callback7功能，使用未經(jīng)驗證的RSI寄存器寫入攻擊者控制的SMRAM地址，從而實現(xiàn)SMM權(quán)限提升和固件持久性妥協(xié)，CVSS評分為8.2。

CVE-2025-4422漏洞涉及SMI處理程序中的錯誤，可能通過gEfiSmmCpuProtocol和EfiPcdProtocol的EfiSmiServices導(dǎo)致SMM內(nèi)存損壞和權(quán)限提升，同樣獲得CVSS評分8.2。

CVE-2025-4423漏洞存在于SetupAutomationSmm功能中，允許攻擊者在SMM中任意寫入內(nèi)存，導(dǎo)致SMM權(quán)限提升和代碼執(zhí)行，CVSS評分同樣高達8.2。

CVE-2025-4424漏洞則由于SetupAutomationSmm中的輸入驗證不正確，允許對SmmSetVariable進行未經(jīng)驗證的調(diào)用，導(dǎo)致固件設(shè)置被惡意操縱，CVSS評分為6。

CVE-2025-4425漏洞是一個堆棧緩沖區(qū)溢出問題，也存在于SetupAutomationSmm中，可能導(dǎo)致SMM權(quán)限提升和任意代碼執(zhí)行，CVSS評分為8.2。

最后，CVE-2025-4426漏洞同樣源于SetupAutomationSmm中的錯誤，泄露SMRAM內(nèi)容，造成敏感信息泄露，CVSS評分為6。

為應(yīng)對這些安全威脅，聯(lián)想已經(jīng)為IdeaCentre AIO 3等受影響型號的一體機發(fā)布了固件安全更新，強烈建議用戶升級到版本O6BKT1AA。對于Yoga AIO系列，盡管目前尚未發(fā)布更新，但聯(lián)想已計劃在2025年9月30日至11月30日期間推出相應(yīng)的修復(fù)程序。

聯(lián)想的這一系列舉措，體現(xiàn)了其對用戶數(shù)據(jù)安全和設(shè)備安全的高度重視，同時也提醒所有用戶及時更新固件，以確保設(shè)備免受潛在的安全威脅。