近日，Phoenix SecureCore UEFI 韌體被曝存在一個嚴重的安全漏洞，該漏洞被追蹤編號為CVE-2024-0762，被命名為「UEFICANHAZBUFFEROVERFLOW」。此緩衝區溢位漏洞位於韌體的可信任平台模組（TPM）配置中，可能允許攻擊者在受影響的裝置上執行任意程式碼。

此漏洞由安全研究公司Eclypsium發現，並在聯想ThinkPad X1 Carbon第7代和X1 Yoga第4代設備上確認。

Phoenix公司已於4月發布警告，而聯想迅速響應，於5月推出了新的韌體更新，修復了150多種不同機型上的漏洞問題。

受影響的英特爾CPU型號包括Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake和Tiger Lake等。

由於這些CPU被廣泛應用於聯想、戴爾、宏碁和惠普等品牌的數百款機型中，因此潛在的安全風險波及範圍廣泛。

Eclypsium指出，漏洞存在於Phoenix SecureCore韌體的系統管理模式（SMM）子系統中，攻擊者可透過覆蓋相鄰記憶體來提升權限，進而可能安裝引導工具包惡意軟體，對設備安全構成嚴重威脅。

不過雖然聯想已經採取了修復措施，但其他廠商目前尚未完全跟進。