联想UEFI固件存在漏洞

联想最近警告说，高严重性的BIOS缺陷可能会让攻击者使用定制的系微UEFI固件绕过一体机上的安全启动。CVE-2025-4421（8.2）、CVE-2025-4422（8.2）、CVE-2025-4423（8.2）、CVE-2025-4425（8.2）等一些系列漏洞影响了数十种技嘉主板型号，使本地攻击者能够在系统管理模式（SMM）执行任意代码。官方还发布了一份公告，解释说这些缺陷源于联想在系微H2O UEFI固件映像中进行的OEM特定定制，并不适用于所有使用系微H2O UEFI的系统。联想发布了IdeaCenter AIO 3机型的固件安全更新，敦促用户升级到O6BKT1AA版。