Phoenix SecureCore UEFI 固件被曝安全漏洞，影响数百款英特尔 CPU 设备，联想目前已经发布了新的固件更新修复该漏洞。

　　从报道中获悉，该漏洞追踪编号为 CVE-2024-0762，被称为“该漏洞由 Eclypsium 发现，他们在联想 ThinkPad X1 Carbon 第 7 代和 X1 Yoga 第 4 代设备上发现了该漏洞，随后向 Phoenix 公司确认，影响以下英特尔 CPU 的 SecureCore 固件：

　　Alder Lake

　　Coffee Lake

　　Comet Lake

　　Ice Lake

　　Jasper Lake

　　Kaby Lake

　　Meteor Lake

　　Raptor Lake

　　Rocket Lake

　　Tiger Lake

　　由于使用该固件的英特尔 CPU 数量众多，该漏洞有可能影响联想、戴尔、宏碁和惠普的数百款机型。

　　Eclypsium 称，他们发现的漏洞是 Phoenix SecureCore 固件的系统管理模式子系统中的缓冲区溢出，允许攻击者覆盖相邻内存。

　　如果内存被正确的数据覆盖，攻击者就有可能提升权限并获得固件中的代码执行能力，从而安装引导工具包恶意软件。

　　Phoenix 公司于 4 月发布警告，联想于 5 月发布新固件，修复了 150 多种不同机型的漏洞问题，不过其它厂商目前没有完全跟进修复。