四问联想公司被曝光的数百万台笔记本固件级马脚处置事宜

被编号为CVE-2021-3971和CVE-2021-3972的漏洞，完备是遐想公司生产流程缺少科学管控造成，原来仅在遐想条记本电脑制造过程中利用的UEFI固件驱动程序，在出厂前并没有停用，反而被缺点地安装入终端设备BIOS程序中。
黑客可以激活这些受影响的固件驱动程序，以在操作系统运行前从特权用户模式进程直接禁用SPI闪存保护或UEFI安全启动功能。

这意味着黑客可能利用漏洞在受影响的设备上支配并成功实行SPI闪存或ESP植入程序，例如LoJax或最新创造的UEFI恶意软件ESPecter。
此外，被编号为CVE-2021-3970的漏洞许可对受影响终真个SMRAM进行任意读/写，这可能导致黑客支配SPI闪存植入程序并利用SMM权限实行恶意代码。

ESET公司在创造漏洞情形后，早在2021年10月11日就向遐想公司通报干系漏洞情形，遐想公司原操持在2022年2月8日发布干系漏洞信息及补丁程序。
后称因补丁程序开拓碰着问题，遐想公司哀求ESET公司将公开曝光推迟到4月18日。
遐想公司已在其官网列出了长长的受影响系列设备清单，并发布了补丁程序，

根据市场调研机构Canalys数据显示，2021年环球PC出货量约为3.41亿台，遐想公司打算机出货量霸占环球份额的24.1%，连续排名天下第一。
2021年，遐想公司在中国PC市场份额近40%，海内市场霸占率排名第一，且海内市场对联想PC环球霸占率贡献最大。
本次曝光的遐想旗下100多个型号的数百万台条记本终端存在高危UEFI固件漏洞，将对海内大量用户造成巨大安全隐患。
ESET公司早在去年就曾创造上述漏洞及影响情形，距现在已经长达半年，不用除此期间上述漏洞被黑客或者APT组织已经创造并利用的可能性。

面对这次遐想大范围漏洞事宜，笔者提出四问：

1.遐想公司在节制干系漏洞信息后是否及时向各国网络安全任务机构报告干系情形？遐想终端环球来自全国霸占率第一，在很多关键根本举动步伐行业利用。
遐想公司将上述漏洞情形是否及时向有关部门反应，提前采纳干系防控方法。

2.遐想公司是否只向特定国家报告了干系情形？遐想从原来的民族企业变身为跨国企业后，是否还能保留其民族本色，是否及时向贡献了其环球最大销量的中国市场主管部门报告了漏洞情形？还是只是向其外国主管机构主动报告了？建议遐想作出回答。

3.遐想公司是否及时开展了干系补救方法？漏洞影响范围如此之大，涉及数量如此之多，遐想公司应对处置程序是否及时启动，是否全力处置，是否覆盖完备？根据ESET公司报告，遐想品牌部分过保终端也首此漏洞影响，遐想未将上述终端统计在内。

4.遐想公司漏洞程序开拓是否须要长达六个月韶光？遐想公司受影响的终端产品系列多，可以作为其开拓漏洞补丁程序韶光长的情由，但是遐想公司在收到漏洞通报情形后是否高度重视这次漏洞事宜，调动各方资源全力投入补丁程序开拓了，还是仅仅作为一次普通事宜按正常程序应对，才导致韶光长达6个月之久。
建议遐想作出回答。

末了建议国家主管机构对这次遐想漏洞事宜开展调查，并向"大众年夜众发布调查结果。