News UEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken

[pvcf]

6 Monate für 3 Sicherheitsfixes.

Naja, der Programmierer in mir denkt: okay, so ein fix sollte an einem Tag gemacht sein, eigentlich in einer Stunde, wenn man sogar weiss, wo das Problem ist...

Der gutgläubige Optimist in mir sagt, das wurde auch so schnell gefixt, und die nehmen sich dann einfach 6 Monate Zeit, um zu testen, ob die nicht durch ausspielen des Bugfixes ihre ganze Modellpalette bricken...

Der Realist in mir sagt: die haben das Zeuch irgendwo Outsurcest programmieren lassen, möglichst schnell und billig, wenns gut kommt, denen dann noch vor den Koffer gekackt und sich danach noch billigere Remote Codeslaves gesucht und haben jetzt das Problem, nicht diejenigen ranzubekommen, die es fixen könnten und müssen jetzt erstmal jemanden finden, der sich da einarbeitet, den Code nachvollzieht und es fixen könnte.

Da selbst DAS wesentlich schneller als 6 Monate geht, wird wohl von einer Kostenstelle, die erstmal nur durch ihre eigene Brille guckt, das Budget für dieses externe Fachkraft, so klein gehalten, dass mehrere Preisgünstige hintereinander angeworben wurden, welche es allesamt nicht gebacken bekommen haben.

Irgendjemanden bei Lenovo wurde dass dann zuviel und er hat entschieden, künstlichen Druck auf die Kostenstelle durch Veröffentlichen des Problems aufzubauen, eventuell auch, um zukünftiges Verkacken mit zukünftigen Auftragnehmern zu vermeiden.

disclaimer: ich hab nix mit Lenovo zu tun, ist nur so meine Erfahrung aus dem bisherigem Berufsleben...

 

[Picard87]

Bios/UEFI-Updates auch ohne Windows

Ja, ist bei Lenovo über das Bios möglich (neue Bios Datei auf USB Stick) oder man kann als zweite Möglichkeit meist einen bootfähigen USB-Stick erstellen.

 

[Rhoxx]

So wie ich das lese, braucht man (teilweise lokalen Zugriff und ) Elevated Access (Adminrechte) um im UEFI rumzupfuschen. Also nicht so kritisch.

 

[drake23]

Komplexität in Verbindung mit closed source ist ein Security Albtraum...

 

[iron-man]

Und die meisten User wissen davon nichts, was zum Nichtinstallieren führt.

 

[Land_Kind]

Äähhh... warum nochmal wurde uns UEFI damals bei der Einführung so penetrant aufs Auge gedrückt?

Die haben uns doch immer erklärt, das dies sooooooo viel sicherer sei.

 

[SIR_Thomas_TMC]

Die haben uns doch immer erklärt, das dies sooooooo viel sicherer sei.

Sicherer /= absolut 100% sicher ...

 

[CastorTransport]

Soweit ich sehe sind keine Business Geräte betroffen?!?

Ja, keine Thinkpads. Machen den größten Batzen bei uns aus. Aber es sind auch Yogas im Umlauf.

 

[DJKno]

Kurz die Liste überflogen.
Keine Thinkpads der E-Serie dabei.
Unsere Firmengeräte also nicht betroffen.
Glück gehabt.

 

[2Stoned]

Ich frage mich eher ob mein x220 wirklich nicht betroffen ist oder einfach nicht berücksichtigt wurde, da zu "alt" :s

 

[Dusslighoch10]

@pvcf
Das klassische Konzernvorgehen
Wird durchaus gerne gemacht, aber natürlich niemals so kommuniziert.

 

[SI Sun]

Soweit ich sehe sind keine Business Geräte betroffen?!?

Unternehmen kaufen sich nicht nur Business Geräte.

 

[Amaoto]

Und Thinkbook / Thinkpad ist kein einziges betroffen? Kaum zu glauben da die Modelle teilweise extrem baugleich sind.

Thinkpads haben eine eigene Liste: https://support.lenovo.com/us/en/product_security/LEN-84943

 

[pvcf]

Äähhh... warum nochmal wurde uns UEFI damals bei der Einführung so penetrant aufs Auge gedrückt?

Die haben uns doch immer erklärt, das dies sooooooo viel sicherer sei.

als das erste UEFI stolz direkt selbst( !!)ins Internet konnte, war mir sofort klar, dass das keinesfalls irgendwas mit Sicherheit zu tun haben konnte und das nur ein vorgeschobener Grund war, wofür auch immer

 

[xmimox]

Ich hatte mich gestern schon gewundert das Lenovo ein Update für mein Legion 7 2021 Anbietet. Bisher ist Lenovo bei mir nur durch schlechten Treiber Support aufgefallen. Wer bspw. auf einen 2021 Legion 7 (auch einige 5 Modelle) aktuelle Treiber der Nvidia Website installiert bspw. über GeforceExp., hat keinen funktionierenden Energiesparmodus bzw. Zuklappen ohne Aktion mehr. Sehr geil..

Aber auch heftig das man ca. 6 Monate später erst einen Patch anbietet, klingt für mich ziemlich lang.

Ergänzung (21. April 2022)

Unternehmen kaufen sich nicht nur Business Geräte.

Kann ich bestätigen. Bei Großkonzernen 80.000+ ist die Zeit vorbei bei denen es 1-3 Geräte für alle gab. (Zumindest die ich kenne, mag Ausnahmen geben)

 

[KurzGedacht]

Unternehmen kaufen sich nicht nur Business Geräte.

Stimmt, aber die meisten schnallen nach nicht all zu langer Zeit dass das ein Fehler ist.

Edit: Bezogen auf die üblichen consumer Laptops die bei Media Markt, Aldi & Co verkloppt werden. Gibt natürlich Ausnahmen.

 

[der Unzensierte]

Kann man mittlerweile ein BIOS Update remote einspielen?

yep, das geht

Und die meisten User wissen davon nichts, was zum Nichtinstallieren führt.

Weshalb ich es auch deutlich besser finde wenn Microcode-updates für die CPU über Windows ausgerollt werden.

 

[SI Sun]

Stimmt, aber die meisten schnallen nach nicht all zu langer Zeit dass das ein Fehler ist.

Dann haben es die Unternehmen, die ich dabei kenne (auch bei mir), wohl bis heute nicht geschnallt.
Unser Fazit ist, dass man sich damit sehr viel Geld spart und die einzelnen Abteilungen oder Nutzer optimal ausstatten kann.
Die IT-Fachleute zur Betreuung und Optimierung (inkl. deren Fortbildungen) kosten nur einen Bruchteil vom Gesparten.

Die oft versprochenen Hardware- oder Software- Wollmilchsäue haben sich immer als Bürokratie- und Verwaltungsfallen erwiesen.

Wenn beispielsweise 5 verschiedene Geräte zu verschiedenen Preisen benötigt werden, ist es günstiger und besser diese zu besorgen, statt ein Gerät für alle zu beschaffen und dabei die teuerste Variante zu wählen und zu viel zu zahlen. Oder schlimmer, einen günstigeren Kompromiss einzugehen und die Nutzer zu benachteiligen, die mit einem teureren Gerät effizienter wären und andere Nutzer mit Geräten auszustatten, die unnötig teurer sind.

 

[KurzGedacht]

Dann haben es die Unternehmen, die ich dabei kenne (auch bei mir), wohl bis heute nicht geschnallt.

Ich verstehe nicht genau was du meinst.
Es geht mir nicht darum alle User mit dem gleichen Gerät auszustatten. Wozu auch.
Schon gar nicht mit der teuersten Variante. Es kriegt selbstverständlich jeder ein Gerät für den passenden Anwendungsfall. Es macht Sinn sich auf 2-3 Hersteller zu begrenzen damit Abläufe für Support & Garantieabwicklung einigermaßen vereinheitlicht werdeen können.

Ein erstaunlich großer Teil der Unternehmen in denen ich war beschafft tatsächlich Refurbished Lenovo Thinkpads die ~3 Jahre alt sind für nur 200-500 Euro pro Gerät für die meisten Mitarbeiter.
Die Mitarbeiter die Leistung benötigen kriegen neue Thinkpads oder Macbooks.

Von dem Consumer Quatsch haben die meisten aber sehr schnell abstand genommen. Hab das inbesondere bei Startups oft gesehen die Geld sparen wollten aber am Ende zahlten die so in der Regel drauf.
Consumer Geräte sind einigermaßen okay wenn sie kaum bewegt werden (letztlich ist da ja fast die gleiche Hardware drin). Die die wirlklich genutzt wurden sind zu über 2/3 relativ zeitnah nach Ablauf der Gewährleistung kaputt gegangen. Sehr häufig gebrochene Gehäuse in der Nähe der Display Scharniere. Das meiste was da verbaut wird ist einfach kompletter Müll. Die Dinger werden gebaut um nach Ablauf der Garantie auseinanderzufallen. Die sollen ja gar nicht länger halten.

Wenn man dann was reparieren will gibt es keine Ersatzteile, die Gehäuse sind verklebt oder ähnlicher Schwachsinn.

Bei den Business Geräten hab ich hingegen regelmäßig Geräte vorgefunden die nach >7 Jahren intensiver Nutzung immer noch einwandfrei funktioniert haben und wenn mal was kaputt ist kann man auch nach vielen Jahren immer noch easy Ersatzteile besorgen.

Ich sehe echt keinen Grund warum man sich den Terror mit Acer, Medion und Co antun sollte, bloß um ein paar Euro zu sparen. Bereut man nur.

Grundregel: Wenn es keine Möglichkeit seitens des Herstellers gibt die Garantie auf 3-5 Jahre zu erweitern dann ist das Produkt höchstwahrscheinlich nicht gebaut worden um länger als 2 Jahre zu halten.

Hab mir das jetzt fast zwei Jahrzehnte in diversen Varianten mit insgesamt wohl tausenden Geräten angesehen und die Daten sind da eigentlich sehr eindeutig.

 

[andy_m4]

Umso komplexer Firmware wird, umso größer ist natürlich auch die Chance das da Bugs (und somit letztlich auch Sicherheitslücken) drin sind. Man sollte hier eher den Weg gehen es zu vereinfachen statt zu verkomplizieren (wie UEFI das macht).
Sicherheitslücken hier sind nämlich besonders kritisch da dort platzierter Schadcode leichter Sicherheitsmaßnahmen und -barrieren zu umgehen.

Auch die Updatebarkeit ist nicht ungefährlich. Auch das ermöglicht nämlich (sofern nicht fehlerfrei implementiert; aber wenn die Firmware schon nicht fehlerfrei zu bekommen ist, warum sollte es bei der Update-Funktion anders sein?) Code einzuschleusen und macht sogar noch ein potentielles Tor mehr auf.
Insofern bin ich dann auch etwas verwundert bis schockiert wenn ich hier so manche Postings lese, wo dann Updates automatisch und sogar remote eingespielt werden können sollen.
Ähm nein. Genau das will man aus sicherheitstechnischer Sicht eher nicht.

Ganz früher war die Firmware mal im ROM. Da konnte man gar nicht updaten aber sich auch kein Schadcode einnisten. Irgendwann wanderte das dann mal in ein EPROM. Aber man musste immer noch per Jumper/DIP-Schalter den Schreibzugriff frei geben. Was umständlich war aber die Updateprozedur war wesentlich kontrollierter.

Inzwischen ist das vollkommen aus dem Ruder gelaufen und zusammen mit der gewachsenen Komplexität muss das natürlich zu Problemen führen. Und die Warnungen davor sind auch nicht neu. All das, was man die letzten Jahre dazu beobachtet hat ist genau so vorhergesagt worden so das sich auch keiner rausreden kann er hätte von nix gewusst.
Man könnte fast denken solche Design-Schwächen werden mit Absicht gemacht. :-)