Lenovo avertit les utilisateurs que plusieurs vulnérabilités de sécurité du BIOS ont été découvertes dans Lenovo Ideacentracent et Yoga All-in-One Desktops. Le document de support indique que les attaquants locaux peuvent exécuter du code malveillant en mode gestion du système (SMM).
Cet accès n’est souvent pas reconnu et est difficile à inverser car il implique un niveau d’autorisation encore plus élevé que le niveau du noyau. Même une réinstallation complète du système n’est donc pas suffisante pour détecter et éliminer tout logiciel malveillant profondément intégré une fois injecté, ce qui rend ces vulnérabilités particulièrement dangereuses.
Quels modèles Lenovo sont affectés?
Les vulnérabilités de sécurité – CVE-2025-4421, CVE-2025-4422, CVE-2025-4423, CVE-2025-4424, CVE-2025-4425, CVE-2025-4426 – CVE-2025-4425 et CVE-2025-4426. Quatre d’entre eux ont reçu des cotes de gravité élevée.
Selon Lenovo, les modèles suivants sont connus pour être affectés:
- Lenovo IdeaCentre Aio 3 24Arr9
- Lenovo IdeaCentre Aio 3 27Ar9
- Lenovo Yoga AIO 27IAH10
- Lenovo Yoga AIO 32ill10
- Lenovo Yoga AIO 9 32irh8
La vulnérabilité repose dans le firmware Insyde BIOS, qui n’est pas fourni par Lenovo lui-même mais plutôt la société taïwanaise Insyde. Cela dit, les appareils d’autres fabricants ne semblent pas exécuter cette version UEFI particulière et ne sont donc pas en danger.
Ce que vous pouvez faire si vous êtes affecté
Lenovo travaille à offrir des correctifs complets pour les défauts de sécurité. Cependant, ceux-ci ne sont actuellement disponibles que pour les deux modèles Ideacentre. Les propriétaires de des ordinateurs de bureau vulnérables Lenovo Yoga AIO devront probablement attendre septembre pour que les mises à jour correspondantes soient prêtes.
Pour télécharger le correctif approprié pour votre appareil, vous devez trouver votre modèle exact sur le site d’assistance de Lenovo, puis cliquez sur «Drivers and Software» puis sur «Mise à jour manuelle». Comparez la version minimale de votre appareil dans ce document de support avec la dernière version publiée sur le site Web d’assistance, puis téléchargez et installez la dernière version.
Alternativement, vous pouvez également utiliser l’outil de gestion de mise à jour de Lenovo si vous l’avez déjà installé. Vous devez également vérifier que votre PC est toujours sécurisé et utiliser un programme antivirus fiable pour réduire le risque d’attaque si votre appareil ne peut pas encore être corrigé.
