獨立安全研究人員Dmytro Oleksiuk今天詳細介紹了一個未修補的UEFI固件零日漏洞，已確認可以威脅部分聯想、惠普筆記本。

　　Intel高危固件漏洞曝光 惠普聯想筆記本中招

這個漏洞存在于多種UEFI固件包里的系統管理模塊(SMM)源代碼中，Oleksiuk就此寫了一段驗證性代碼“ThinkPwn”，可利用該漏洞關閉UEFI寫保護，隨后任意修改設備固件。

甚至，安全啟動選項也可以被關閉，Windows 10內建的設備保護等安全措施同樣能被繞過。

這段代碼目前運行于UEFI級別，可在每次啟動時直接訪問，而且理論上可以修改運行在系統級別上，同時插入惡意代碼。

Oleksiuk表示，最初發現受影響的只有聯想筆記本，但稍后他發現，其他一些OEM產品也被波及，包括惠普的部分產品。

聯想回應稱，該漏洞并非來自自家代碼，而是源于Intel提供的IBV(獨立BIOS供應商)代碼，另外看上去這個漏洞并不新鮮，Intel工程師2014年就修復了，但不知為何又出現在了多家廠商的UEFI之中。

但是目前，尚無針對此漏洞的修復，聯想、惠普都沒有。