Neuer Sicherheitsalarm – nach dem BadUSB-Bug und dem Linux Bash-Bug kommt die nächste Hiobsbotschaft. In der auf der Intel-Referenzimplementierung basierenden UEFI-Systemen gibt es zwei dicke Sicherheitslücken, die eine Privilege Escalation ermöglichen.
Anzeige
Publiziert wurden die Lücken von Sicherheitsanalysten von Mitre.org, die hier auf das Problem aufmerksam machen. Die Sicherheitslücken stecken in Intels UEFI-Referenzimplementierung – die dann als Basis von vielen PC-Herstellern für eigene UEFI-Implementierungen genutzt wurden.
Wie heise.de hier schreibt, lassen sich Schwachstellen im UEFI-Update-Mechanismus ausnutzen, wenn das Update mit Administratorrechten angestoßen wird und die UEFI-Umgebungsvariable CapsuleUpdateData vorhanden ist. Durch Integerüberläufe lässt sich dann zu einem frühen Zeitpunkt des Bootvorgangs Schadcode im System ausführen, so dass dieser das System übernehmen kann.
Intel hat die Referenzimplementierung für UEFI zwar gepatcht und auch einige Hersteller reagieren. So stellt HP Updates für mehr als 1.500 Systeme bereit. Dell behauptet "clean" zu sein und Lenovo gibt nur wenige betroffene Gerätemodelle an. heise.de hat die PC- und Mainboard-Hersteller angefragt, aber noch keine Rückmeldung erhalten. Ich werde das zum Anlass nehmen, mal bei Medion nachzufragen, wie es bei deren Systemen ausschaut.
Ähnliche Artikel:
Unpatchbarer Exploit für BadUSB bekannt geworden
iCloud- und inApp-Browser-Sicherheitsprobleme & Bash-Bug
2015
Ich habe gerade bei Acer für mein V3-571G nach geschaut. Nichts neues im BIOS-UEFI Bereich zu finden.
dann solltest deinen Hersteller kontaktieren, denn selbst gegenüber heise haben die nicht reagiert und dh. doch als User muss Druck gemacht werden, dass ein Statement kommt.
Bei heise.de gibt es nun einen lesenswerten Kommentar zu diesem Thema.
auf der einen Seite ja nett zu lesen, aber auf der anderen Seite, sollte doch gerade die Presse auch AMI bspw. konkret hierzu befragen und nicht mehr loslassen.
oder die entsprechenden Unternehmen in jeder Publikation erwähnen.
Aktuell ist es jeweils nur ein kurzer "oh ah" und dann verpufft es und die User werden allein gelassen. Wenn dem Management jedoch vor Augen gehalten wird, dass Ihr Defizite vorhanden sind und die Kunden evtl. zudem bzw. aufgrund dessen weniger von dem Produkt kaufen, wird mit Sicherheit schnell eine Lösung gefunden.
Nachtrag: Bei heise.de gibt es einen Nachfolgeartikel, der Hinweise zu Aktualisierungen enthält. Von Medion (Lenovo-Tochter) habe ich leider auf meine Anfrage noch nichts gehört.