Acer笔记本电脑中的新缺陷可能会让攻击者禁用安全启动保护

Acer发布了固件更新，以解决可能被武器化以关闭受影响机器上的UEFI安全引导的安全漏洞。

跟踪为CVE-2022-4020，高严重性漏洞影响五种不同的型号，包括Aspire A315-22、A115-21和A315-22G，以及Extensia EX215-21和EX215-21G。

这家PC制造商将该漏洞描述为“可能允许通过创建NVRAM变量来更改安全引导设置”的问题。ESET研究人员马丁·斯摩尔（Martin Smolár）发现了该漏洞，他之前曾在联想电脑中披露过类似的错误。

禁用安全引导（Secure Boot）是一种完整性机制，可确保在系统启动期间仅加载受信任的软件，从而使恶意行为者能够篡改引导加载程序，从而导致严重后果。

这包括授予攻击者对操作系统加载过程的完全控制权，以及“禁用或绕过保护以使用系统权限静默部署自己的有效负载”

根据斯洛伐克网络安全公司的说法，该漏洞存在于名为HQSwSmiDxe的DXE驱动程序中。

BIOS更新预计将作为关键Windows更新的一部分发布。或者，用户可以从Acer的支持门户下载修复程序。