快科技6月21日消息，近日，Phoenix SecureCore UEFI 固件被曝存在一個嚴重的安全漏洞，該漏洞被追蹤編號為CVE-2024-0762，被命名為“UEFICANHAZBUFFEROVERFLOW”。

這一緩沖區溢出漏洞位于固件的可信平臺模塊（TPM）配置中，可能允許攻擊者在受影響的設備上執行任意代碼。

該漏洞由安全研究公司Eclypsium發現，并在聯想ThinkPad X1 Carbon第7代和X1 Yoga第4代設備上得到確認。

Phoenix公司已于4月發布警告，而聯想迅速響應，于5月推出了新的固件更新，修復了150多種不同機型上的漏洞問題。

受影響的英特爾CPU型號包括Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake和Tiger Lake等。

由于這些CPU被廣泛應用于聯想、戴爾、宏碁和惠普等品牌的數百款機型中，因此潛在的安全風險波及范圍廣泛。

Eclypsium指出，漏洞存在于Phoenix SecureCore固件的系統管理模式（SMM）子系統中，攻擊者可通過覆蓋相鄰內存來提升權限，進而可能安裝引導工具包惡意軟件，對設備安全構成嚴重威脅。

不過雖然聯想已經采取了修復措施，但其他廠商目前尚未完全跟進。