ThinkPad X13s: BIOS-Update schließt Schwachstellen

Publiziert am 7. Januar 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Hersteller Lenovo hat in einer Sicherheitsmeldung auf eine Reihe Schwachstellen im BIOS des ThinkPad X13s hingewiesen. Diese ermöglichen eine Speicherbeschädigung (Memory Corruption) und die Offenlegung von Informationen. Es steht ein BIOS-Update zum Schließen der Schwachstellen bereit.

Anzeige

Lenovo listet in diesem Sicherheits-Advisory die nachfolgenden Schwachstellen auf, die eine Speicherbeschädigung (Memory Corruption) und die Offenlegung von Informationen ermöglichen.

  • CVE-2022-40516
  • CVE-2022-40517
  • CVE-2022-40518
  • CVE-2022-40519
  • CVE-2022-40520
  • CVE-2022-4432
  • CVE-2022-4433
  • CVE-2022-4434
  • CVE-2022-4435

Lenovo gibt folgende Auswirkungen dieser Schwachstellen an:

  • CVE-2022-40516, CVE-2022-40517, CVE-2022-40520: Qualcomm reported several stack-based buffer overflow vulnerabilities in Qualcomm BIOS that could allow a local attacker with elevated privileges to cause memory corruption.
  • CVE-2022-40518, CVE-2022-40519: Qualcomm reported several buffer over-read vulnerabilities in Qualcomm BIOS that could allow a local attacker with elevated privileges to cause information disclosure.
  • CVE-2022-4432, CVE-2022-4433, CVE-2022-4434, CVE-2022-4435: Several buffer over-read vulnerabilities were reported in ThinkPad X13s BIOS that could allow a local attacker with elevated privileges to cause information disclosure.

Zum Schließen der Schwachstellen sollte ein ThinkPad X13s BIOS-Update auf Version 1.47 (N3HET75W) oder neuer erfolgen. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu ThinkPad X13s: BIOS-Update schließt Schwachstellen

  1. Norddeutsch sagt:
    7. Januar 2023 um 10:51 Uhr

    Zeitnah auch einige T-Modelle zB T14 AMD: r1bul73w @ 3.1.2023 von 1.41 auf 1.42
    In TXT zum Bios: "- Fixed security issue(LEN-93889_AMD-SN-1031)."
    Dabei wirkt das Advisory von Lenovo unvollständig – oder Notice existiert noch nicht. Somit findet keiner die CVEs ..

    Wie findet man eine Lenovo-Notice LEN-93889 anderswo wenn nicht in der Hauptliste
    https://support.lenovo.com/us/en/product_security/home ?

    Der Sublink (von oben, Günter) https/support.lenovo.com/us/en/product_security/LEN-103709 ersetzt mit "LEN-93889" geht nicht, auf AMD-url ist Nummer AMD-SN-1031 unbekannt ?

    Vom Nummernkreis bei AMD oder Lenovo könnte es auch hier um Sidechannel gehen, Für zig Profi-Firmengeräte und nicht nur X-Serie.
    Allerdings heissen die bei AMD "SB" statt "SN", zB AMD-SB-1034 "AMD Response to Log4j (Log4Shell) Vulnerability".
    Was ist Unterschied zwischen "AMD-SN-1031" und "AMD-SB-…"? Ist's Lenovo geschuldet wenn Lenovo-intern (S)ecurity (N)otices von SB auf SN umbenennen – oder ist das eine andere Sparte?

    Dabei sind die T-Modelle mE in Firmen viel verbreiteter, Lenovo schreibt nicht drüber ?

    Antworten

Schreibe einen Kommentar zu Norddeutsch Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.