News UEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.987
Lenovo hat einen Sicherheitshinweis für drei Schwachstellen in seiner UEFI-Firmware herausgegeben, die rund einhundert Notebooks des Herstellers betreffen sollen. Die Sicherheitsexperten von ESET hatten Lenovo bereits im Oktober 2021 auf diese Sicherheitslücken aufmerksam gemacht, jetzt stehen erste Updates bereit.

Zur News: UEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken
 
  • Gefällt mir
Reaktionen: pvcf, Kryss, Salutos und 2 andere
Na das ist ja großartiger Support... Erstmal öffentlich machen, dass es Sicherheitslücken gibt und wie diese aussehen, aber für einige betroffene Modelle noch über zwei Wochen brauchen wollen, bis Updates verfügbar werden.
Was soll der Mist?
 
  • Gefällt mir
Reaktionen: flo.murr, crackett, iron-man und 5 andere
Was ist daran verwerflich?
Lieber die Lücke unter dem Tisch kehren und nichts sagen. Egal wie man es macht, macht man es falsch.
 
  • Gefällt mir
Reaktionen: Schranklos, Gurkenwasser, HolySkillet und 4 andere
Geil. Backdoor ins UEFI eingebaut.
 
  • Gefällt mir
Reaktionen: jeger, pvcf, Blende Up und 4 andere
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
 
  • Gefällt mir
Reaktionen: de-ice und HolySkillet
Reinheitsgebot schrieb:
Was ist daran verwerflich?
Lieber die Lücke unter dem Tisch kehren und nichts sagen. Egal wie man es macht, macht man es falsch.
Vielleicht Details zur Lücke erst veröffentlichen, wenn man Updates bereit hat? Habe nicht gesagt, man solle irgendwas unter den Teppich kehren.
Aber potenzielle Angreifer mit solchen Nachrichten auf den Plan rufen, während man noch wochenlang keinen Fix liefert, ist maximal dämlich.
 
  • Gefällt mir
Reaktionen: crackett, -WATC-, scout1337 und 13 andere
Innensechskant schrieb:
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
Ich mag mich irren aber ich glaube das es die Möglichkeit gibt über das Bios zu updaten.
 
  • Gefällt mir
Reaktionen: Innensechskant
CastorTransport schrieb:
Ui, in der Firma nur Lenovo im Einsatz ^^
Soweit ich sehe sind keine Business Geräte betroffen?!?
 
  • Gefällt mir
Reaktionen: Stuffz, der Unzensierte, Whoracle und 2 andere
Und Thinkbook / Thinkpad ist kein einziges betroffen? Kaum zu glauben da die Modelle teilweise extrem baugleich sind.
 
  • Gefällt mir
Reaktionen: 2Stoned
Reinheitsgebot schrieb:
Was ist daran verwerflich?
Lieber die Lücke unter dem Tisch kehren und nichts sagen. Egal wie man es macht, macht man es falsch.
Ohne zumindest einen Workaround sollte man still halten.
Und dass sie erst jetzt einen Fix rausbringen, ist auch ein Ding...

dasuppenhuhn schrieb:
Geil. Backdoor ins UEFI eingebaut.
Ist potenziell bei jedem UEFI, wo Windows schreibend Zugriff drauf hat - schätze ich.
 
Neodar schrieb:
Vielleicht Details zur Lücke erst veröffentlichen, wenn man Updates bereit hat? Habe nicht gesagt, man solle irgendwas unter den Teppich kehren.
Aber potenzielle Angreifer mit solchen Nachrichten auf den Plan rufen, während man noch wochenlang keinen Fix liefert, ist maximal dämlich.
Tachchen,

also in der Sicherheitsbranche ist es üblich, gefundene Fehler an den Hersteller zu melden. Diese haben im Allgemeinen Monate Zeit, um Fixes bereitzustellen. Dann gibt es eine Veröffentlichungsdeadline für die CVE. Bis dahin sollte der Hersteller Updates bereitstellen.

Wenn mal mal schaut: CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972

CVE-2021 = Alle Lücken wurden 2021 entdeckt.

Wenn der Entdecker einer Sicherheitslücke gleich die Details veröffentlicht => "Zero-Day"

Toengel@Alex
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Whoracle, Piktogramm und tollertyp
Schwere Lücken.
Da hat wohl die CCP einige Backdoors angeordnet, die jetzt in die falschen Hände geraten sind oder entdeckt wurden.
 
  • Gefällt mir
Reaktionen: dualcore_nooby
Bezeichnend, dass nur billige Consumermodell betroffen sind. Die richtigen Business-Geräte aus der ThinkPad-Serie ausnahmsweise nicht. Ausnahmsweise? Die Chips und Software sind grundsätzlich die gleichen - der Unterschied ist die Qualität des Materials, Verarbeitung, Linux Zertifizierung und Ersatzteilversorgung ;)


Bei Bosch heißt es übrigens "Bosch Grün" (Wackelkontakt) und "Bosch Blau" (soll halten). Ich bin nicht mal Heimwerker und habe diese Lehre schmerzhaft gelernt.

Neodar schrieb:
Na das ist ja großartiger Support... Erstmal öffentlich machen, dass es Sicherheitslücken gibt und wie diese aussehen, aber für einige betroffene Modelle noch über zwei Wochen brauchen wollen, bis Updates verfügbar werden.
Was soll der Mist?
Verstehe ich nicht. Lieber verheimlichen? Lenovo kümmert sich zumindest.

Idealfall eine schweren Lücke:
1.) Erkannt
2.) In Ruhe Gefixt
3.) Verteilt mit Changelog [sic!]
4.) Öffentlicher Hinweis nachfolgend

Industriestandard sieht leider deutlich schlechter aus. So lange es nicht ewig geleugnet wird und ausgenutzt wird ist Lenovo noch am besseren Ende.
 
So kritisch sind diese Lücken nach meinem Verständnis erstmal nicht.

Denn dazu braucht es Malware die es erst auf den Rechner schaffen und dort mit Admin- Rechten ausgeführt werden muss um diese auszunutzen.

Wenn man aber erstmal soweit ist, kann man Secure Boot deaktivieren oder das BIOS modifizieren, was natürlich ein Super-GAU ist. Wichtig das dies gefixt wird aber ich würde da kein all zu großes Fass aufmachen deswegen.
 
  • Gefällt mir
Reaktionen: SIR_Thomas_TMC und tollertyp
Innensechskant schrieb:
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
Ja, unter Linux kannst du fwupd verwenden. Fwupd verwendet den "Linux Vendor Firmware Service" (LVFS) und bezieht von dort Firmware-Updates aller Art, u.a. für das UEFI-BIOS:
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: stevefrogs, Snudl, 2Stoned und 2 andere
6 Monate für 3 Sicherheitsfixes.
 
  • Gefällt mir
Reaktionen: pvcf und Donald Duck
@David7 danke, dessen bin ich mir bewusst und dort hatte ich auch schon geschaut, bevor ich gefragt hatte. Leider sind dort von Lenovo derzeit fast ausschließlich Thinkpads (und diverse Peripherie) eingepflegt :)
 
Hab mal die Liste überflogen. Scheinen ja keine Thinkpads dabei zu sein, sondern nur Consumer-Modelle.

Nunja, als Käufer dieser Modelle fühlte man sich eh schon immer als Kunde zweiter Wahl behandelt. Wer nur economy bucht und nicht business class muss wohl mit den Nachteilen rechnen.
 
Zurück
Oben