Martin Smolár นักค้นคว้าด้านความปลอดภัยจากบริษัท ESET
ได้เผยรายงานการศึกษาและทำการค้นพบช่องโหว่ด้านความปลอดภัยที่ถูกศึกษาและทำการค้นพบใน UEFI ของโน้ตบุ๊ก Lenovo โดยมีรหัส Common Vulnerabilities and Exposures (CVE) เป็น CVE-2021-3970, CVE-2021-3971 และก็ CVE-2021-3972ด้านในรายงานบอกว่าช่องโหว่ด้านความปลอดภัยใน UEFI ที่ถูกศึกษาค้นพบนี้ จะทำให้เกิดผลเสียต่อผู้ใช้งานโน้ตบุ๊กของ Lenovo อยู่หลายรุ่น ที่มีผู้ใช้งานในตอนนี้อยู่หลายล้านเครื่อง โดยช่องโหว่นี้ทางแฮกเกอร์สามารถใช้ในจัดตั้งเฟิร์มแวร์เลียนแบบลงในตัววัสดุอุปกรณ์ของเหยื่อเพื่อเปิดโอกาสทางโจรกรรมข้อมูลได้ปัญหาในช่องโหว่นี้ถูกบอกว่า CVE-2021-3971 และก็ CVE-2021-3972 เกิดขึ้นได้เพราะมีสาเหตุเนื่องมาจากการที่ไดร์เวอร์นิดหน่อย ซึ่งแต่ก่อนจะใช้เพียงแค่ในกระบวนการผลิตเพียงแค่นั้น โดยมันควรต้องถูกปิดการทำงานลงไปภายหลังได้จัดตั้ง UEFI ลงในตัวอุปกรณ์เป็นระเบียบแล้ว แม้กระนั้นมันถูกลืมปิดทำให้มีช่องโหว่ด้านความปลอดภัยเกิดขึ้น โดยแฮกเกอร์จะใช่ช่องโหว่นี้สำหรับในการปิดคุณลักษณะ SPI flash protection หรือ Secure Boot ทำให้ตัวระบบไม่สามารถที่จะปกป้องตัวเองจากมัลแวร์ซึ่งสามารถเอาชีวิตรอดได้
ถึงแม้ระบบจะถูกรีบูตและก็ตามส่วนทางด้านช่องโหว่ CVE-2021-3970 จะเกี่ยวกับการจู่โจมด้วยวิธี Memory corruption ด้านใน System Management Mode (SMM) ที่ทำให้แฮกเกอร์สามารถจัดตั้งรหัสอันตรายที่มีอำนาจเข้าถึงข้อมูลต่างๆได้ในระดับสูงสุดลงในระบบอย่างไรก็ดี ช่องโหว่ทั้งยังสามตัวนี้ ทาง Lenovo ได้รับแจ้งเตือนเมื่อ11 ต.ค.ศักราช 202(พุทธศักราช 2564)
ทาง Leneovo ได้บอกว่าช่องโหว่ที่เกิดขึ้น มีผลเสียต่อโน้ตบุ๊กในเครือญาติ Lenovo Flex, IdeaPads, Legion, V14, V15, V17 รวมทั้ง Yoga แต่ ในเวลานี้ทาง Lenovo ได้ปลดปล่อยอัปเดตแพทช์รักษาความปลอดภัยออกมาเพื่อปิดช่องโหว่ทั้งยังสามลงในวันที่ 12 ม.ย. คริสต์ศักราช 2022 (พุทธศักราช 2565)คนไหนที่ใช้งานโน้ตบุ๊กของ Lenovo อยู่ ชี้แนะให้เข้าไปตรวจตราทางเว็บของผู้สร้าง เพื่อดาวน์โหลดเฟิร์มแวร์เวอร์ชันใหม่มากระทำการอัปเดตวัสดุอุปกรณ์ที่ใช้งานอยู่