L’Office fédéral allemand de la sécurité des technologies de l’information (BSI) a émis une note de sécurité concernant le firmware UEFI d’Insyde. Cette note,datée du 13 mai 2025,signale une faille de sécurité affectant le BIOS/firmware du système d’exploitation,ainsi que les produits Lenovo et le firmware UEFI d’Insyde.
Les recommandations les plus récentes des fabricants concernant les mises à jour, les solutions de contournement et les correctifs de sécurité pour cette faille sont disponibles dans l’avis de sécurité Lenovo LEN-195071 (daté du 14 mai 2025).
Note de sécurité pour le firmware UEFI d’Insyde : Risque moyen
Table of Contents
- Note de sécurité pour le firmware UEFI d’Insyde : Risque moyen
- Bug du firmware UEFI d’Insyde : Déni de service et plusieurs vulnérabilités
- Systèmes affectés par la faille de sécurité
- Mesures générales pour gérer les failles de sécurité informatique
- Informations des fabricants concernant les mises à jour, les correctifs et les solutions de contournement
- Historique des versions de cette note de sécurité
Niveau de risque : 3 (moyen)
Score CVSS de base : 5,3
Score CVSS temporel : 4,6
Attaque à distance : non
Le système CVSS (Common Vulnerability Scoring System) est utilisé pour évaluer la gravité des faiblesses des systèmes informatiques. Il permet de comparer les failles de sécurité potentielles ou réelles en fonction de divers critères, afin de mieux hiérarchiser les contre-mesures. Les attributs sont « aucun », « faible », « moyen », « élevé » et « critique » pour la gravité d’un point faible. Le score de base évalue les conditions préalables à une attaque (authentification UA, complexité, privilèges, interaction de l’utilisateur) et ses conséquences. Le score temporel prend également en compte les changements temporels en termes de situation de danger. Selon le CVSS, le risque du point faible traité ici est classé comme « moyen » avec un score de base de 5,3.
Bug du firmware UEFI d’Insyde : Déni de service et plusieurs vulnérabilités
Insydeh2o Uefi Bios est un firmware UEFI BIOS propriétaire sous license qui prend en charge les ordinateurs basés sur Intel et AMD.
un attaquant local peut exploiter plusieurs vulnérabilités dans le firmware UEFI d’Insyde pour mener une attaque par déni de service.
Les faiblesses ont été classées à l’aide du système d’étiquetage CVE (Common Vulnerabilities adn exposures) par les numéros de série individuels CVE-2024-52877, CVE-2024-52878, CVE-2024-52879 et CVE-2024-52880.
Systèmes affectés par la faille de sécurité
Systèmes
BIOS/Firmware
Produits
lenovo Computer (cpe:/h:lenovo:computer)
Insyde UEFI Firmware Insyde UEFI Firmware 05.29.50 (cpe:/h:insyde:uefi)
Insyde UEFI Firmware Insyde UEFI Firmware 05.38.50 (cpe:/h:insyde:uefi)
Insyde UEFI Firmware Insyde UEFI firmware 05.46.50 (cpe:/h:insyde:uefi)
Insyde UEFI Firmware Insyde UEFI Firmware 05.54.50 (cpe:/h:insyde:uefi)
Insyde UEFI Firmware insyde UEFI Firmware 05.61.50 (cpe:/h:insyde:uefi)
* Insyde UEFI Firmware Insyde UEFI Firmware 05.70.50 (cpe:/h:insyde:uefi)
Mesures générales pour gérer les failles de sécurité informatique
- Les utilisateurs des systèmes concernés doivent les maintenir à jour. Lorsque les fabricants prennent concious de problèmes de sécurité, ils sont encouragés à y remédier le plus rapidement possible en développant un correctif ou une solution de contournement. Si de nouvelles mises à jour de sécurité sont disponibles, installez-les rapidement.
- Consultez les sources énumérées dans la section suivante à titre d’information. Ces informations complémentaires contiennent souvent la dernière version du logiciel concerné ainsi que la disponibilité de correctifs de sécurité ou des informations sur les solutions de contournement.
- Si vous avez d’autres questions ou incertitudes, contactez votre administrateur responsable. Les responsables de la sécurité informatique doivent vérifier régulièrement les sources mentionnées pour savoir si une nouvelle mise à jour de sécurité est disponible.
Informations des fabricants concernant les mises à jour, les correctifs et les solutions de contournement
Des liens supplémentaires contenant des informations sur les rapports de bogues, les correctifs de sécurité et les solutions de contournement sont disponibles.Avis de sécurité Lenovo LEN-195071 du 14 mai 2025 (13.05.2025)
Avis de sécurité Insyde INSYDE-SA-2024016 du 13 mai 2025 (13.05.2025)
Historique des versions de cette note de sécurité
Il s’agit de la version initiale de la présente note de sécurité informatique pour le firmware UEFI d’insyde. Ce texte est mis à jour lorsque des mises à jour sont annoncées. Vous pouvez comprendre les modifications apportées en utilisant l’historique des versions suivant.
13.05.2025 – Version initiale
Voici les informations extraites du texte original,fournies en réponse à votre demande :
Résumé des informations clés :
Contexte : L’Office fédéral allemand de la sécurité des technologies de l’facts (BSI) a publié une note de sécurité concernant le firmware UEFI d’Insyde.
Date : 13 mai 2025.
Vulnérabilité : Plusieurs vulnérabilités dans le firmware UEFI d’Insyde, permettant potentiellement un déni de service.
Gravité : Risque “moyen” selon le système CVSS, avec un score de base de 5,3.
Attaque : Un attaquant local peut exploiter les failles.
Systèmes affectés : BIOS/Firmware, produits Lenovo, et plusieurs versions du firmware UEFI d’Insyde (05.29.50, 05.38.50, 05.46.50, 05.54.50, 05.61.50, 05.70.50).
CVE : Les faiblesses sont répertoriées sous les numéros CVE-2024-52877, CVE-2024-52878, CVE-2024-52879 et CVE-2024-52880.
Recommandations :
Maintenir les systèmes à jour.
Consulter les informations des fabricants pour les correctifs et solutions de contournement.
Contacter l’administrateur en cas de questions.
Sources d’information :
Avis de sécurité Lenovo LEN-195071 (14 mai 2025).
avis de sécurité Insyde INSYDE-SA-2024016 (13 mai 2025).
