一、基本情况

Lenovo是一家全球知名的ICT科技企业，也是全球智能设备的领导厂商之一。

Lenovo本次更新修复了ThinkBook、IdeaPad 和 Yoga 等多种笔记本电脑型号中的2个漏洞，Ideapad Y700-14ISK设备中的漏洞（CVE-2022-3432）尚未修复。
二、漏洞描述

UEFI安全启动是一种验证系统，可确保在计算机启动过程中不会加载和执行恶意代码，成功利用这些漏洞的恶意用户可以更改操作系统的安全启动设置，详情如下：

CVE-2022-3430

影响：禁用安全启动

说明：某些联想笔记本设备上的WMI设置驱动程序存在漏洞，可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。

CVE-2022-3431

影响：禁用安全启动

说明：某些联想笔记本设备的制造过程中使用的驱动程序存在漏洞，该驱动程序未被正确停用，被错误地包含在生产中，可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。

CVE-2022-3432

影响：禁用安全启动

说明：Ideapad Y700-14ISK设备的制造过程中使用的驱动程序存在漏洞，该驱动程序未被正确停用，被错误地包含在生产中，可能导致具有高权限的恶意用户通过修改NVRAM变量来修改安全启动设置。

三、影响范围

ThinkBook、IdeaPad、Yoga等多种系列/型号

注：具体受影响产品型号及其BIOS固件版本信息请参考Lenovo官方公告列表：

https://support.lenovo.com/us/en/product_security/LEN-94952

四、修复建议

目前Lenovo已经针对CVE-2022-3430 和 CVE-2022-3431发布了受影响设备的BIOS更新，Lenovo用户可参考官方公告将系统固件更新到相应修复版本（或更高版本）。

对于CVE-2022-3432，由于Ideapad Y700-14ISK已到达生命周期，Lenovo将不再支持维护，受影响用户应当注意防范。

下载链接：

https://pcsupport.lenovo.com/us/en/

五、参考链接

https://support.lenovo.com/us/en/product_security/LEN-94952

https://www.bleepingcomputer.com/news/security/lenovo-fixes-flaws-that-can-be-used-to-disable-uefi-secure-boot/