Новые уязвимости в UEFI актуальны для 70 моделей ноутбуков Lenovo

Новые уязвимости в UEFI актуальны для 70 моделей ноутбуков Lenovo

Новые уязвимости в UEFI актуальны для 70 моделей ноутбуков Lenovo

Компания Lenovo выпустила обновления прошивки для ноутбуков, устранив три уязвимости в BIOS/UEFI. Степень опасности во всех случаях оценена как умеренная, однако эксплойт потенциально позволяет выполнить в системе вредоносный код.

Проблемам присвоены идентификаторы CVE-2022-1890, CVE-2022-1891, CVE-2022-1892. Согласно бюллетеню, все они связаны с ошибкой переполнения буфера, относятся к классу «повышение привилегий» и выявлены в разных драйверах — ReadyBootDxe, SystemLoadDefaultDxe и SystemBootManagerDxe. Эксплойт возможен при наличии локального доступа и позволяет выполнить произвольный код.

Все три бага обнаружил Мартин Смолар (Martin Smolár) из ESET; в Твиттере он уточнил, что выполнить сторонний код можно на ранних этапах загрузки ОС. Автор атаки также сможет угнать поток исполнения и отключить некоторые защитные функции.

Причиной появления уязвимостей является неадекватная проверка параметра DataSize, передаваемого при вызове функции GetVariable runtime-службы UEFI. Переполнение буфера можно спровоцировать с помощью специально созданной переменной NVRAM.

Список затронутых продуктов Lenovo внушителен (см. бюллетень) — более 70 моделей ноутбуков, в том числе представители семейств ThinkBook, IdeaPads, Legion, Flex и Yoga. Пользователям настоятельно рекомендуется обновить прошивки.

В этом году Lenovo латает UEFI уже второй раз. В апреле вендор устранил уязвимости CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972 — три возможности повышения привилегий, тоже найденных Смоларом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сбер готов делиться технологиями автоматического выявления дипфейков

Заместитель Председателя Правления Сбербанка Станислав Кузнецов заявил, что Сбер готов предоставлять свои технологии автоматического выявления дипфейков другим участникам рынка. Об этом он рассказал на форуме «Диалог о фейках 3.0» во время панельной дискуссии «Глобальный диалог: обеспечение цифрового суверенитета в условиях многополярности».

По словам Кузнецова, мир столкнулся с взрывным ростом дипфейков, а технологии их создания стали доступны буквально каждому — сгенерировать видео или аудио можно за несколько секунд и без затрат.

При этом дипфейки всё чаще применяются в мошеннических схемах, включая телефонное мошенничество и кражу денег.

«Если ещё в 2024 году преступники использовали базы данных, то теперь они запускают ИИ-агентов, которые сами находят нужную информацию. В основе таких преступлений — кибермистификация, когда ложь маскируется под правду с помощью технологий», — отметил Кузнецов.

Он подчеркнул, что для эффективной борьбы с дипфейками необходимо решить три ключевые задачи:

  1. Законодательно урегулировать их использование, в том числе признать применение дипфейков отягчающим обстоятельством при совершении преступлений.
  2. Развивать технологии быстрого выявления фейков и не допускать их распространения.
  3. Интегрировать системы распознавания дипфейков в массовые сервисы — смартфоны, ТВ, соцсети, мессенджеры и операторы связи.

Во время дискуссии Кузнецов продемонстрировал, как с помощью современных инструментов можно в реальном времени “надеть” лицо другого человека и заставить его говорить нужные слова. Он подчеркнул, что подобные возможности представляют серьёзную угрозу — от кражи личности до дискредитации публичных фигур.

Россия, по его словам, уже входит в число мировых лидеров по разработке технологий противодействия дипфейкам. В Сбере созданы решения, способные автоматически определять фальсификации в видео и аудио.

«Мы запатентовали собственное решение под рабочим названием Алетейя — в честь богини истины. Сервис позволяет определять дипфейки в любых системах: от телевидения до мессенджеров. И мы готовы делиться этими технологиями с партнёрами», — сказал Кузнецов.

Он добавил, что масштабное внедрение подобных систем может стать переломным моментом в борьбе с распространением дипфейков и повысить доверие к цифровому контенту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru