Zumindest schon mal ein Advisory:
Bis dato ohne Thinkpads.
Bis dato ohne Thinkpads.
Gefährliche Sicherheitslücken in UEFI-Firmware – ThinkPad BIOS Updates von Lenovo
- Ersteller linrunner
- Erstellt am
-
- Schlagworte
- bios cve sicherheitslücke
Oh ne nicht schon wieder ...Die nächste Runde ist eingeläutet:
...
Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung
Zahlreiche Bugs in UEFI-BIOS-Versionen der Firma Insyde H2O betreffen auch große PC-Hersteller. Sie erleichtern gezielte Angriffe auf Desktop-PCs und Notebooks.www.heise.de
Anfänger
Member
- Registriert
- 21 Juni 2005
- Beiträge
- 960
Update von ESET zu den UEFI-Problemen vom 19.04.2022(gestern)
www.welivesecurity.com
Verwundbare UEFI Backdoors in Lenovo Laptops entdeckt | WeLiveSecurity
ESET-Forscher entdecken mehrere Schwachstellen im UEFI verschiedener Lenovo-Laptop-Modelle. Cyberangriffe auf Firmwareebende wären so möglich.
www.welivesecurity.com
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 2.796
Hier geht's weiter: https://thinkpad-forum.de/threads/erneut-sicherheitslücken-im-uefi-bios.232745/
Grüße Thomas
- Registriert
- 22 Juni 2007
- Beiträge
- 13.079
Da gehts eher in eine Sackgasse. In dem verlinkten Lenovo Advisory sind gar keine ThinkPads gelistet.
support.lenovo.com
Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US
support.lenovo.com
- Registriert
- 20 Apr. 2007
- Beiträge
- 71.988
Nicht "gedeutet", ich habe nur IdeaPads in der Liste gefunden.
Man kann bei Lenovo auf deren Support und Download-Seite nach den CVE-Nummern suchen und erhält dann die entsprechenden Modelle bzw. Links zur Modellliste angezeigt. - Ich hatte z.B. nach CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 gesucht (immer nur eine CVE-Nummer/Suche).
Man kann bei Lenovo auf deren Support und Download-Seite nach den CVE-Nummern suchen und erhält dann die entsprechenden Modelle bzw. Links zur Modellliste angezeigt. - Ich hatte z.B. nach CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 gesucht (immer nur eine CVE-Nummer/Suche).
Der "Hammer" aus meiner Sicht ist ,dass das BIOS-Update von den entsprechenden Ideapads/Legion Geräten per Lenovo-Vantage wohl nicht immer gefunden wird !
Ich habe hier ein Legion 15 (15IMH05H) mit W11 und habe bewußt (Da ich diesen Faden /die Meldung auf Heise kannte ) mal Vantage in der Business-Variante laufen lassen und es wurde nichts gefunden ... Nochmal getestet ,wieder nichts .
Dann auf die Lenovo-Supportseite,und siehe da : Kritisches BIOS-Update !
Mittlerweile scheint Vantage nur noch zum Auslesen des Batteriestatus zu taugen !
Gruss Uwe
Ich habe hier ein Legion 15 (15IMH05H) mit W11 und habe bewußt (Da ich diesen Faden /die Meldung auf Heise kannte ) mal Vantage in der Business-Variante laufen lassen und es wurde nichts gefunden ... Nochmal getestet ,wieder nichts .
Dann auf die Lenovo-Supportseite,und siehe da : Kritisches BIOS-Update !
Mittlerweile scheint Vantage nur noch zum Auslesen des Batteriestatus zu taugen !
Gruss Uwe
- Registriert
- 20 Apr. 2007
- Beiträge
- 71.988
Auf Lenovo Vantage und System Update darf man sich hier nicht verlassen:
Erfahrungsgemäß werden über diese Tools die Updates erst einige Wochen nach deren Veröffentlichung angeboten.
Erfahrungsgemäß werden über diese Tools die Updates erst einige Wochen nach deren Veröffentlichung angeboten.
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 2.796
Ist ja auch in gewisser Hinsicht gut so: Es kommt ja durchaus vor, dass manch ein Patch zurückgezogen werden muss, weil in der breiten Masse dann doch irgendwelche Problemchen auftreten. Das Abwägen zwischen Risiko durch die zu behebende Schwachstelle und dem ausgiebigen Test mit möglichst vielen System ist eben ein heikles Geschäft.
Grüße Thomas
Und da nimmst du "bedingungslos" in Kauf, dass plötzlich nicht mehr gedruckt werden kann (vergleichsweise harmloser Fall) oder dein System plötzlich instabil mit einem BSOD reagiert (heftiger fall), weil der Patch nicht mit dem Treiber deiner Netzwerkkarte kompatibel ist?
Grüße Thomas
Zuletzt bearbeitet:
TheGrey
Well-known member
- Registriert
- 24 März 2008
- Beiträge
- 1.946
Werden sie aber eben "gestaged" - erst installieren "die Eiligen" es von der Webseite (Downloads werden gezählt), wenn sich da welche mit Problemen melden, wird das untersucht, ggf. behoben (oder wie mectst erwähnte zurückgezogen), und wenn sich keine Probleme zeigen nach XXXX Downloads, wird es dann in Vantage eingespeist.
Merke: Software (auch BIOS/UEFI) reift immer beim Kunden zu Ende, das ist bei jedem Produkt so. Deswegen dauerst es länger bis alle versorgt sind.
- Registriert
- 20 Apr. 2007
- Beiträge
- 71.988
Aber nicht um jeden Preis. - Gibt es bei den frühen Updatern Probleme, kann Lenovo gegensteuern und nachbessern, bevor die Masse ihre Rechner schrottet. - Microsoft ist da ein gutes Negativbeispiel.
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 2.796
und weiter geht's oder once again:
winfuture.de
support.lenovo.com
Grüße Thomas
UEFI-Firmware-Schwachstelle betrifft über 70 Lenovo-Laptop-Modelle
Der Computer-Hersteller Lenovo hat schwerwiegende Sicherheitslücken geschlossen, die es Angreifern ermöglichen, unentdeckt Geräte mit Schadsoftware zu infizieren. Für rund 70 Modelle gibt es daher jetzt dringend empfohlene UEFI-Firmware-Updates.
Lenovo Notebook BIOS Vulnerabilities - Lenovo Support SK
support.lenovo.com
Grüße Thomas
- Registriert
- 20 Apr. 2007
- Beiträge
- 71.988
Es sind aber keine ThinkPads gelistet, sondern ThinkBook, IdeaPad und Lenovo-Serie.
- Registriert
- 20 Apr. 2007
- Beiträge
- 71.988
Bezüglich der ThinkPads, um die es sich primär in diesem Forum handelt - ja, siehe Thread-Titel.
Da UEFI an sich Mist ist, wird es sicher eh bald wieder neue "Enthüllungen" geben.
Da UEFI an sich Mist ist, wird es sicher eh bald wieder neue "Enthüllungen" geben.
mectst
Well-known member
- Registriert
- 19 Nov. 2009
- Beiträge
- 2.796
Es gibt hier schon ja die Unterforen "Andere Lenovo Geräte"
Forenliste
ThinkPad Forum Community. Forum rund um Lenovo Hardware, Thinkpad, Software, Windows, Linux, Laptop, Notebook, Klapprechner, Workstation, Computer, PC
thinkpad-forum.de
Davon ist natürlich auszugehen.
Grüße Thomas
Mr. Natural
Thinkspotter
- Registriert
- 23 Juni 2006
- Beiträge
- 3.830
Moin,
eben bei Heise gelesen. Da ist praktisch für jeden was dabei
www.heise.de
Die Liste der betroffenen Geräte
eben bei Heise gelesen. Da ist praktisch für jeden was dabei
Sicherheitsupdates: BIOS-Lücken gefährden unzählige Lenovo-PCs
Lenovo hat BIOS-Updates für praktisch sein gesamtes PC-Modell-Portfolio bereitgestellt. Unter anderem werden Schadcode-Lücken geschlossen.
Die Liste der betroffenen Geräte
