近日,Acer发布安全公告,修复了某些Acer笔记本电脑型号中的一个安全绕过漏洞(CVE-2022-4020),该漏洞的CVSSv3评分为8.1。
该漏洞存在于某些Acer笔记本设备上的HQSwSmiDxe DXE 驱动程序中,可能导致高权限恶意用户通过修改BootOrderSecureBootDisable NVRAM变量来修改/禁用UEFI安全启动设置,实现劫持操作系统加载过程并加载未签名的引导加载程序以绕过或禁用保护,并使用系统权限部署恶意Payload等。
目前该漏洞已经修复,受影响用户可将BIOS 更新到最新版本以修复此漏洞。[阅读原文]