Update verfügbar: Bios-Sicherheitslücken in etlichen Lenovo-Rechnern

Über Sicherheitslücken im Bios etlicher Lenovo-Rechner kann Schadcode ausgeführt werden. Der Hersteller stellt Updates bereit.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Tastatur eines Thinkpads des PC-Herstellers Lenovo
Tastatur eines Thinkpads des PC-Herstellers Lenovo (Bild: Lorenzo Cafaro/Pixabay)

Hardwarehersteller Lenovo meldet mehrere Sicherheitslücken im Bios seiner PC-Modelle. Nach Angaben des Unternehmens kann über die Lücken unter anderem Schadcode ausgeführt werden. Als mögliche Gefahren werden Offenlegung von Informationen, Ausweitung von Rechten sowie Denial of Service genannt. Updates sind verfügbar.

Stellenmarkt
  1. Software Developer (m/w/d)* für .NET-Anwendungen
    Hallesche Krankenversicherung a. G., Stuttgart
  2. Leitung IT Demand Management (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Betroffen ist laut der Auflistung der einzelnen Geräte von Lenovo nahezu die gesamte Rechnerpalette. Insgesamt seien es fünf Sicherheitsprobleme (CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136, CVE-2022-40137), schreibt Lenovo in einem Sicherheitshinweis. Nicht alle Geräte seien aber von allen Lücken betroffen, da diese teils verschiedene Bios-Hersteller beträfen.

Um die Lücken auszunutzen, brauchen Angreifer laut Lenovo lokalen Zugang zu den Rechnern mit nicht genauer beschriebenen erweiterten Rechten, was die Gefährdung abmildert. Gelingt der Zugang, ist in einem Fall das Ausführen von Code möglich. Andere Lücken ermöglichen etwa den Zugriff auf den System-Management-Mode-Speicher (SMM) und damit unter Umständen auch auf das Betriebssystem.

Liste der betroffenen Rechner und verfügbaren Updates

Von der Lücke zum Ausführen von Code (CVE-2021-28216) ist Tianocore EDK II betroffen. Dieser quelloffene UEFI-Code werde in der gesamten Industrie in allen modernen Computern verwendet, schreibt Lenovo. Im Bugzilla des betroffenen Projekts heißt es, dass ein Angreifer für einen erfolgreichen Angriff bereits das SMM kompromittiert oder UEFI Secure Boot umgangen haben müsse, um bei Letzterem die Attributprüfung zu umgehen.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

In dem Sicherheitshinweis finden sich eine Liste der betroffenen Rechner sowie Links zu den abgesicherten Firmwareversionen. Diese sollten von Anwendern beziehungsweise Administratoren umgehend eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Brandenburg: DNS:Net kann wohl ganzen Landkreis ausbauen
    Brandenburg
    DNS:Net kann wohl ganzen Landkreis ausbauen

    DNS:Net beginnt in Elbe-Elster 55.000 Haushalte mit FTTH auszubauen. Zuvor war die Telekom hier gefördert aktiv.

  2. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

  3. Elektroauto: Hyundai Ioniq 6 soll 614 km pro Ladung fahren
    Elektroauto
    Hyundai Ioniq 6 soll 614 km pro Ladung fahren

    Beim Ioniq 6 zeigt sich wieder einmal, dass ein niedriger Luftwiderstandsbeiwert essentiell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /