Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsUEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken
Lenovo hat einen Sicherheitshinweis für drei Schwachstellen in seiner UEFI-Firmware herausgegeben, die rund einhundert Notebooks des Herstellers betreffen sollen. Die Sicherheitsexperten von ESET hatten Lenovo bereits im Oktober 2021 auf diese Sicherheitslücken aufmerksam gemacht, jetzt stehen erste Updates bereit.
Na das ist ja großartiger Support... Erstmal öffentlich machen, dass es Sicherheitslücken gibt und wie diese aussehen, aber für einige betroffene Modelle noch über zwei Wochen brauchen wollen, bis Updates verfügbar werden.
Was soll der Mist?
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
Vielleicht Details zur Lücke erst veröffentlichen, wenn man Updates bereit hat? Habe nicht gesagt, man solle irgendwas unter den Teppich kehren.
Aber potenzielle Angreifer mit solchen Nachrichten auf den Plan rufen, während man noch wochenlang keinen Fix liefert, ist maximal dämlich.
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
das wäre natürlich für jeden Enterprise-Admin super!!
Kann man mittlerweile ein BIOS Update remote einspielen?
Ich meine, dass Lenovo das in Angriff nehmen wollte, sofern man die hauseigenen Docking-Station einsetzt.
Vielleicht Details zur Lücke erst veröffentlichen, wenn man Updates bereit hat? Habe nicht gesagt, man solle irgendwas unter den Teppich kehren.
Aber potenzielle Angreifer mit solchen Nachrichten auf den Plan rufen, während man noch wochenlang keinen Fix liefert, ist maximal dämlich.
also in der Sicherheitsbranche ist es üblich, gefundene Fehler an den Hersteller zu melden. Diese haben im Allgemeinen Monate Zeit, um Fixes bereitzustellen. Dann gibt es eine Veröffentlichungsdeadline für die CVE. Bis dahin sollte der Hersteller Updates bereitstellen.
Wenn mal mal schaut: CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972
CVE-2021 = Alle Lücken wurden 2021 entdeckt.
Wenn der Entdecker einer Sicherheitslücke gleich die Details veröffentlicht => "Zero-Day"
Bezeichnend, dass nur billige Consumermodell betroffen sind. Die richtigen Business-Geräte aus der ThinkPad-Serie ausnahmsweise nicht. Ausnahmsweise? Die Chips und Software sind grundsätzlich die gleichen - der Unterschied ist die Qualität des Materials, Verarbeitung, Linux Zertifizierung und Ersatzteilversorgung
Bei Bosch heißt es übrigens "Bosch Grün" (Wackelkontakt) und "Bosch Blau" (soll halten). Ich bin nicht mal Heimwerker und habe diese Lehre schmerzhaft gelernt.
Neodar schrieb:
Na das ist ja großartiger Support... Erstmal öffentlich machen, dass es Sicherheitslücken gibt und wie diese aussehen, aber für einige betroffene Modelle noch über zwei Wochen brauchen wollen, bis Updates verfügbar werden.
Was soll der Mist?
So kritisch sind diese Lücken nach meinem Verständnis erstmal nicht.
Denn dazu braucht es Malware die es erst auf den Rechner schaffen und dort mit Admin- Rechten ausgeführt werden muss um diese auszunutzen.
Wenn man aber erstmal soweit ist, kann man Secure Boot deaktivieren oder das BIOS modifizieren, was natürlich ein Super-GAU ist. Wichtig das dies gefixt wird aber ich würde da kein all zu großes Fass aufmachen deswegen.
Weiß man schon, ob die Bios/UEFI-Updates auch ohne Windows auf den betroffenen Geräten (hab ein Lenovo Yoga 7 Slim Pro, das hat Windows noch nie gesehen) installiert werden können?
Ja, unter Linux kannst du fwupd verwenden. Fwupd verwendet den "Linux Vendor Firmware Service" (LVFS) und bezieht von dort Firmware-Updates aller Art, u.a. für das UEFI-BIOS:
@David7 danke, dessen bin ich mir bewusst und dort hatte ich auch schon geschaut, bevor ich gefragt hatte. Leider sind dort von Lenovo derzeit fast ausschließlich Thinkpads (und diverse Peripherie) eingepflegt
Hab mal die Liste überflogen. Scheinen ja keine Thinkpads dabei zu sein, sondern nur Consumer-Modelle.
Nunja, als Käufer dieser Modelle fühlte man sich eh schon immer als Kunde zweiter Wahl behandelt. Wer nur economy bucht und nicht business class muss wohl mit den Nachteilen rechnen.
