Abo
  • Services:
Anzeige
Lenovos BIOS-Lieferanten müssen nachsitzen.
Lenovos BIOS-Lieferanten müssen nachsitzen. (Bild: Gleb Garanich/Reuters)

Thinkpwn: Lenovo warnt vor mysteriöser Bios-Schwachstelle

Lenovos BIOS-Lieferanten müssen nachsitzen.
Lenovos BIOS-Lieferanten müssen nachsitzen. (Bild: Gleb Garanich/Reuters)

Lenovo warnt vor einem Fehler im Bios-Code aktueller Modelle. Die Schwachstelle wurde von einem Sicherheitsforscher unkoordiniert veröffentlicht, gepatcht ist sie bislang noch nicht.

Der PC-Hersteller Lenovo warnt vor einer Sicherheitslücke in BIOS-Software, die von dem Unternehmen verwendet wird. Diese soll es lokalen Geräteadministratoren ermöglichen, Sicherheitsfunktionen wie Secure Boot zu deaktivieren und Schadcode einzuschleusen. Betroffen ist offenbar von Drittanbietern eingekaufte Software, die auch von anderen Herstellern verwendet wird.

Anzeige

Bislang sind nur relativ wenig Details bekannt, unklar ist zum Beispiel welche Geräte betroffen sind. Getestet wurde die Lücke auf einem Thinkpad T450. Lenovo schreibt in dem Security-Advisory, "dass die unkoordinierte Veröffentlichung" der Informationen "durch einen Sicherheitsforscher" bekannt sei. Offenbar ist ein Blogpost des Sicherheitsforschers Dmytro Oleksiuk gemeint, dieser wird aber nicht explizit verlinkt. Nach Angaben von Lenovo reagierte Oleksiuk nicht auf Kontaktversuche.

Der SMM-Code ist betroffen

Das Problem liegt im Code, der den System Management Mode betrifft. Dieser ist für die Steuerung verschiedener Hardware-Funktionen des Prozessors zuständig und Teil der X86-Architektur. Nach Angaben von Lenovo ist SMM-Code von mindestens einem externen Bios-Hersteller betroffen. Bislang soll noch nicht bekannt sein, wer den verwundbaren Code entwickelt hat. Einen Patch gibt es nicht. Lenovo arbeitet nach eigenen Angaben mit allen unabhängigen Bios-Entwicklern zusammen, um weiter Schwachstellen zu finden und zu beheben.

Ein Exploit für die Lücke wurde auf Github veröffentlicht. Dort steht, dass die meisten aktuellen Modelle von Lenovo verwundbar sein sollen. Das älteste getestete Modell sei das X220, das neueste das T450s, jeweils mit der aktuellsten verfügbaren Firmware. Die zugrundeliegende Sicherheitslücke wurde von Intel offenbar bereits im Jahr 2014 gepatcht, einige Hersteller haben offenbar alten Code für die Erstellung ihrer Bios beziehungsweise UEFI-Versionen verwendet.

Nach Angaben von Oleksiuk ermöglicht die Sicherheitslücke die Deaktivierung von Sicherheitsfeatures wie UEFI Secure Boot, Virtual Secure Mode und Credential Guard und "andere böse Dinge". Dazu müsse der lokale Nutzer über Administratorrechte verfügen. Der Sicherheitsforscher Alex James weist auf Twitter daraufhin, dass auch ein HP-Notebook aus dem Jahr 2010 betroffen sein soll.


eye home zur Startseite
mgra 05. Jul 2016

Zitat vom Ende des exorbitanten Blockpost: Technical nature of this 0day vulnerability is...

blubberer 04. Jul 2016

Und ich behaupte mal das Gegenteil. Warum? Diese Lücke mit Drive By kombiniert, in der...



Anzeige

Stellenmarkt
  1. convanced GmbH, Hannover, Hamburg oder Berlin
  2. H-O-T Härte- und Oberflächentechnik GmbH & Co. KG, Nürnberg
  3. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  4. Techniker Krankenkasse, Hamburg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Snapdragon 820, 6GB RAM, 128GB, incl. Band20...

    tearcatcher | 14:13

  2. Re: Custom-domainname

    slashwalker | 14:11

  3. Re: Bisher 700000 Menschen sagen "danke Staat".

    thorsten... | 14:09

  4. Re: Monopole im Internet

    teenriot* | 14:07

  5. Re: Telekom und ihre Preisgestaltung (in anderen...

    DerDy | 14:06


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel