Lenovo BIOS/UEFI-Updates beseitigen Sicherheitslücken, hunderte Modelle betroffen (9.2022)

[English]Der chinesische Rechnerhersteller Lenovo hat Updates für das BIOS/UEFI von hunderten seiner Computermodelle veröffentlicht. Diese sollen gravierende Schwachstellen (CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136, CVE-2022-40137) beseitigen, die Lenovo in einer Sicherheitsmeldung beschreibt.


Anzeige

Das Lenovo Security Advisory LEN-94953 Multi-Vendor BIOS Security Vulnerabilities (September 2022) zu den, von von Lieferanten gemeldeten, Schwachstellen CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136 sowie CVE-2022-40137 wurde am 13. September 2022 veröffentlicht und beschreibt folgende Korrekturen durch die Updates:

  • AMI hat Sicherheitsverbesserungen für AMI BIOS veröffentlicht. Keine CVE verfügbar.
  • CVE-2021-28216: Tianocore meldete eine fixierte Pointer-Schwachstelle im TianoCore EDK II BIOS, die es einem Angreifer mit lokalem Zugriff und erhöhten Rechten erlauben könnte, beliebigen Code auszuführen. TianoCore EDK II ist der grundlegende Open-Source UEFI (BIOS) Code, der in der Industrie in allen modernen Computern verwendet wird.
  • CVE-2022-40137: Ein Pufferüberlauf im WMI SMI Handler in einigen Lenovo-Modellen könnte einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen.
  • CVE-2022-40134: Ein Informationsleck im SMI Set BIOS Password SMI Handler in einigen Lenovo-Modellen kann es einem Angreifer mit lokalem Zugriff und erhöhten Rechten ermöglichen, SMM-Speicher zu lesen.
  • CVE-2022-40135: Eine Sicherheitslücke im SMI-Handler für Smart USB Protection in einigen Lenovo-Modellen kann es einem Angreifer mit lokalem Zugriff und erweiterten Rechten ermöglichen, SMM-Speicher zu lesen.
  • CVE-2022-40136: Eine Sicherheitslücke im SMI-Handler, der zur Konfiguration der Plattformeinstellungen über WMI in einigen Lenovo-Modellen verwendet wird, kann es einem Angreifer mit lokalem Zugriff und erweiterten Rechten ermöglichen, den SMM-Speicher zu lesen.

Lenovo empfiehlt die Geräte auf die neueste BIOS-Version zu aktualisieren, schreibt aber auch, dass nicht alle angegebenen Produkte (für die Updates bereitstehen),von obigen CVEs betroffen seien. Der Hintergrund ist, dass Lenovo, sofern möglich, immer mehrere BIOS-Sicherheitskorrekturen und -Erweiterungen in so wenigen Updates wie möglich zusammen fasst. Die Downloads der aktualisierten BIOS-Versionen ist über die Lenovo-Seite möglich. Zudem bietet Lenovo Tools an, um das Update zu unterstützen. Nachfolgend finden sich die Links zu den Seiten mit den betroffenen Produkten:

(via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Notebook, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Lenovo BIOS/UEFI-Updates beseitigen Sicherheitslücken, hunderte Modelle betroffen (9.2022)

  1. Mario O. sagt:

    Hallo,

    kennt jemand eine Möglichkeit bzw. Software von Lenovo mit der man die Updates auf verschiedenen Geräten (verschiedene Modelle) im gesammten Unternehmen ausrollen kann?
    Wir setzten bisher auf die Lenovo Vantage bzw. Lenovo Commercial Vantage App. Allerdings ist die soweit ich weiß nicht zentral managebar.

  2. Thierry sagt:

    Mein Thinkpad Edge E531 ist jetzt acht Jahre alt und läuft noch stets wie am ersten Tag. Auf der Website von Lenovo bekam ich den Hinweis: Ihr Gerät ist zu alt… dennoch doch jung geblieben.

    • Bruce Willis sagt:

      Kann ich bestätigen! Das Gerät läuft seit Jahren klag- und geräuschlos, auch mit einem relativ angejahrten Bios. Habe mir kürzlich sogar über ebay bei einem seriösen Händler in Kellinghusen für billige knapp 160 EUR ein gleiches Ersatzgerät besorgt für den Fall, dass mein Thinkpad E531-Erstgerät nach so vielen Jahren aufgeben sollte. Ich benutze zum Gerät die passende OneLink Pro-DockingStation, die das Gerät zusätzlich aufwertet, weil man es dann ohne jeglichen Kabelsalat auch wie einen Desktop-PC benutzen kann.

      Einen gravierenden Nachteil hat das Gerät allerdings. Es hat keinerlei TPM, nicht einmal TPM 1.2, was die Aufrüstung auf Windows 11 erschwert und ein einfaches Upgrade (auch mit Anwendung der bekannten Tricks) nach meinen Erfahrungen unmöglich macht. Es bleibt also vorläufig bei Windows 10 64-Bit.

  3. MrX1980 sagt:

    Leider hat mein Lenovo Yoga 710-14IKB kein Bios Update erhalten und somit bleibt das letzte von September 2018. Schade ich hatte gehofft, dass außerplanmäßig doch noch eins kommen wird.

  4. Max M. sagt:

    Für PCs der Baureihe M710t Desktop (ThinkCentre) steht auf der Seite, das Update M16KT69A beseitige die Sicherheitslücke CVE-2022-40137. Nun finde ich auf der Downloadseite allerdings nur das BIOS in der Version M16KT68A (welches die anderen fünf Sicherheitslücken beseitigt). Wie ist das zu interpretieren? Macht den Eindruck, dass es die Version bereits geben würde, ansonsten würde da doch das Datum der voraussichtlichen Erscheinung angegeben sein. Jemand eine Idee?

  5. Max M. sagt:

    Danke für die Antwort. Sehr inkonsequent von Lenovo, da schon eine konkrete Version zu nennen, die noch nicht verfügbar ist und in den anderen Fällen ein konkretes Erscheinungsdatum zu listen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.