تحذر Lenovo المستخدمين من أن العديد من نقاط الضعف في أمن BIOS قد تم اكتشافها في Lenovo IdeaCentre و Yoga All-in-One. تنص وثيقة الدعم على أنه يمكن للمهاجمين المحليين تنفيذ التعليمات البرمجية الضارة في وضع إدارة النظام (SMM).
غالبًا ما لا يتم التعرف على هذا الوصول ويصعب عكسه لأنه يتضمن مستوى ترخيصًا أعلى من مستوى kernel. حتى إعادة التثبيت الكاملة للنظام لا يكفي لاكتشاف وإزالة أي برامج ضارة مضمنة بعمق بمجرد حقنها ، مما يجعل هذه الثغرات الأمنية خطيرة بشكل خاص.
أي نماذج لينوفو تتأثر؟
نقاط الضعف الأمنية-CVE-2025-4421 ، CVE-2025-4422 ، CVE-2025-4423 ، CVE-2025-4424 ، CVE-2025-4425 ، و CVE-2025-4426-تم اكتشافها من قبل باحثين من Binarly وتم الإبلاغ عنه في Linovo. تم إعطاء أربعة منهم تقييمات شدة عالية.
وفقا للينوفو ، من المعروف أن النماذج التالية تتأثر:
- Lenovo IdeaCentre Aio 3 24arr9
- Lenovo IdeaCentre Aio 3 27arr9
- Lenovo Yoga Aio 27iah10
- Lenovo Yoga Aio 32ill10
- Lenovo Yoga Aio 9 32irh8
تقع الثغرة الأمنية في البرامج الثابتة لـ Insyde Bios ، والتي لا توفرها Lenovo نفسها بل الشركة التايوانية insyde. ومع ذلك ، لا يبدو أن الأجهزة من الشركات المصنعة الأخرى تدير إصدار UEFI هذا وبالتالي ليست في خطر.
ما يمكنك فعله إذا تأثرت
تعمل Lenovo على تقديم تصحيحات شاملة للعيوب الأمنية. ومع ذلك ، فهي متاحة حاليًا فقط لنماذج IdeaCentre. من المحتمل أن يضطر أصحاب أجهزة سطح المكتب الضعيفة Lenovo Yoga Aio إلى الانتظار حتى شهر سبتمبر للحصول على التحديثات المقابلة لتكون جاهزة.
لتنزيل التصحيح المناسب لجهازك ، تحتاج إلى العثور على نموذجك الدقيق على موقع دعم Lenovo ، ثم انقر على “برامج التشغيل والبرامج” ثم على “Update Manual”. قارن الحد الأدنى من الإصدار لجهازك في مستند الدعم هذا مع أحدث إصدار تم نشره على موقع الدعم ، ثم قم بتنزيل وتثبيت أحدث إصدار.
بدلاً من ذلك ، يمكنك أيضًا استخدام أداة إدارة تحديث Lenovo إذا كنت قد قمت بتثبيتها بالفعل. يجب عليك أيضًا التحقق من أن جهاز الكمبيوتر الخاص بك لا يزال آمنًا واستخدام برنامج مكافحة الفيروسات الموثوق به لتقليل خطر الهجوم إذا كان لا يمكن تصحيح جهازك بعد.