画像: レノボ
Lenovoは、Lenovo IdeaCentreおよびYogaオールインワンデスクトップに複数のBIOSセキュリティ脆弱性が発見されたことをユーザーに警告しています。サポートドキュメントによると、ローカルの攻撃者がシステム管理モード(SMM)で悪意のあるコードを実行できる可能性があります。
このアクセスはカーネルレベルよりもさらに高い認証レベルを必要とするため、多くの場合認識されず、元に戻すことも困難です。そのため、システムを完全に再インストールしたとしても、一度侵入されたマルウェアを深く埋め込まれた場合、それを検出して削除するには不十分であり、これらの脆弱性は特に危険です。
影響を受ける Lenovo モデルはどれですか?
CVE-2025-4421、CVE-2025-4422、CVE-2025-4423、CVE-2025-4424、CVE-2025-4425、CVE-2025-4426と名付けられたセキュリティ脆弱性は、Binarlyのセキュリティ研究者によって発見され、4月にLenovoに報告されました。このうち4件は深刻度が「高」と評価されました。
Lenovo によれば、以下のモデルが影響を受けることが分かっています。
- レノボ IdeaCentre AIO 3 24ARR9
- レノボ IdeaCentre AIO 3 27ARR9
- レノボ ヨガ AIO 27IAH10
- レノボ ヨガ AIO 32ILL10
- レノボ ヨガ AIO 9 32IRH8
この脆弱性はInsyde BIOSファームウェアに存在しますが、これはLenovo自身ではなく台湾のInsyde社によって提供されています。ただし、他のメーカーのデバイスではこの特定のUEFIバージョンは実行されていないため、リスクはありません。
影響を受けた場合にできること
Lenovoは、セキュリティ上の欠陥に対する包括的なパッチの提供に取り組んでいます。ただし、現時点ではIdeaCentreの2つのモデルのみが対象です。脆弱性のあるLenovo Yoga AIOデスクトップをお持ちの方は、対応するアップデートが準備されるまで9月までお待ちいただく必要があるでしょう。
お使いのデバイスに適したパッチをダウンロードするには、Lenovoのサポートウェブサイトでお使いのモデルを正確に検索し、「ドライバーとソフトウェア」をクリックしてから「手動更新」をクリックしてください。このサポートドキュメントに記載されているデバイスの最小バージョンと、サポートウェブサイトで公開されている最新バージョンを比較し、最新バージョンをダウンロードしてインストールしてください。
または、Lenovoのアップデート管理ツールを既にインストールしている場合は、それを使用するのもよいでしょう。また、PCがまだセキュリティ保護されているかを確認し、デバイスにまだパッチが適用されていない場合は、攻撃のリスクを軽減するために信頼できるウイルス対策プログラムを使用してください。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: ローラ・ピッピグ、PC-WELT スタッフライター
ローラは熱心なゲーマーであり、映画とテレビのファンでもあります。コミュニケーション科学を学んだ後、PCMagazinとConnect Livingに就職しました。それ以来、PCとテクノロジーに関するあらゆるトピックについて執筆しており、2024年5月からはドイツの姉妹サイトPC-WELTの常任編集者を務めています。
