联想集团近日通报，其部分一体机桌面电脑存在多个高危安全漏洞，已紧急更新 UEFI 固件进行修复。这些漏洞若被黑客利用，可绕过安全启动（Secure Boot）机制，执行恶意代码。

受影响设备包括 IdeaCentre AIO 3 的 24ARR9 和 27ARR9 型号，以及 Yoga AIO 的 27IAH10、32ILL10 和 32IRH8 型号。漏洞由 Binarly 发现，本地攻击者可借此在系统管理模式（SMM）中执行任意代码。

SMM 是一种 CPU 模式，运行在操作系统和虚拟机管理器之外，具备更高权限。攻击者利用相关漏洞可植入难以检测的恶意软件，绕过操作系统安全机制。

具体漏洞编号包括 CVE-2025-4421、CVE-2025-4422、CVE-2025-4423、CVE-2025-4424、CVE-2025-4425 和 CVE-2025-4426，其中多个 CVSS 评分为 8.2，涉及 SMI 处理程序中的权限提升、内存损坏、信息泄露等问题。

目前联想已为 IdeaCentre AIO 3 型号发布固件更新，建议用户升级至版本 O6BKT1AA。Yoga AIO 系列的修复更新计划于 2025 年 9 月 30 日至 11 月 30 日之间发布。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。