ACER – CVE-2022-4020
Date de publication :
Un défaut de sécurité affectant le pilote HQSwSmiDxe DXE sur certains ordinateurs portables ACER, permet à un attaquant disposant de privilèges élevés de modifier les paramètres de de démarrage sécurisé UEFI et installer un programme non signé malveillant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de politique de sécurité.
Exécution de code.
Exploitation
La vulnérabilité exploitée est du type
CWE-276: Incorrect Default Permissions
Détails sur l’exploitation
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Oui.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
Les modèles ACER suivants sont impactés : Acer Aspire A315-22,A115-21,A315-22G,Extensa EX215-21 et EX215-21G.
Solutions ou recommandations
Mettre à jour le BIOS à la version 1.1 ou ultérieure.
Des informations complémentaires sont disponibles sur le site du constructeur.