Gefährliche Sicherheitslücken in UEFI-Firmware – ThinkPad BIOS Updates von Lenovo

linrunner

Ubuntuversteher
Registriert
22 Juni 2007
Beiträge
13.050
Artikel bei heise: http://www.heise.de/open/meldung/Ex...herheitsluecken-in-UEFI-Firmware-2429297.html

Mitre-Forscher haben zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung entdeckt, die zahlreichen PC-Herstellern als Blaupause für deren UEFI-Firmware dient.

Security Advisory von Lenovo: http://support.lenovo.com/us/en/product_security/uefi_edk2

Betroffene ThinkPads sind nach derzeitigem Stand (weitere in Untersuchung, siehe Advisory): T430, T440s, X230s, X240(s)
 
Ein BIOS update nur für Windows ? Braucht Linux kein BIOS? Jetzt versteh ich es nicht mehr...
 
@aftourss: Du darfst schon mal die Brille putzen bevor Du meckerst. Bei den in dem Advisory angegebenen BIOS-Updates ist weit oben ein Link "BIOS Bootable CD" zu finden – wie bei allen ThinkPad BIOS Updates gewohnt.
 
könnten die x20er (wie T420) davon grundsätzlich nicht auch betroffen sein? ... oder sind die einfach "schon zu alt", als das Lenovo die nicht mal mehr explizit in die "zu überprüfen" Liste mit aufgenommen hat???
 
@gaku: die Vermutung liegt nahe, dass die *20er auf einer älteren, nicht betroffenen Version der Intel-UEFI-Referenz basieren. Grundsätzlich ist jedoch der Beweis der Nichtexistenz immer schwierig ... ;)
 
Zuletzt bearbeitet:
@ibmthink: Danke für die Erläuterung! :) ... gut zu wissen
 
Die Untersuchungen für die grundsätzlich verschiedenen T430 und T440 sind schon abgeschlossen, für die nahezu baugleichen 15" Modelle allerdings nicht :confused:
Die Logik dahinter muss ich jetzt nicht verstehen oder?
 
Die Untersuchungen für die grundsätzlich verschiedenen T430 und T440 sind schon abgeschlossen, für die nahezu baugleichen 15" Modelle allerdings nicht :confused:
Die Logik dahinter muss ich jetzt nicht verstehen oder?

Vermutlich nur ein internes Kommunikationsproblem - sprich, die Leute, die die Webseite pflegen, kennen diese Zusammenhänge zwischen den Modellen nicht und die Verantwortlichen bei Lenovo haben bisher nur die beiden T4xx- Modelle benannt.
 
@aftourss: Du darfst schon mal die Brille putzen bevor Du meckerst. Bei den in dem Advisory angegebenen BIOS-Updates ist weit oben ein Link "BIOS Bootable CD" zu finden – wie bei allen ThinkPad BIOS Updates gewohnt.

Das sollte nicht so rüberkommen! Ich hatte nur in dem Moment wohl echt meine Augen beiseite gelegt! Das Stand schließlich auch "Windows Utility", da hätte ich auch drauf kommen können, dass weiter unten die Datei zum flashen bereitgestellt wird!

Danke für den "Tipp" und für mich gilt jetzt gerade der hier: :facepalm::facepalm::facepalm::facepalm::facepalm::facepalm::facepalm:
 
Und X230 und X230t sind - im Gegensatz zum (hier nahezu keine Rolle spielenden) X230s - tatsächlich explizit (noch?) nicht betroffen...? :confused:
 
Nur mal zum Verständnis:
wenn bei einem bestimmten System in der Zeile "Status" "affected" steht und auf diesem System dasjenige BIOS installiert ist, das in der Zeile "Mininum BIOS
including Fix" aufgeführt ist, dann sollte das Problem erledigt sein obwohl dieses BIOS vom Juni 2014 stammt und die Sicherheitslücke erst im Oktober 2014 aufgedeckt wurde?
Kann ja eigentlich nur dadurch erklärt werden, daß Lenovo schon mindestes ein halbes Jahr früher Bescheid wußte und einiges gefixt hat, bevor es öffentlich wurde.
 
Ja, dieses BIOS schliesst den UEFI-Bug. Was mit dem Datum genau los ist, null Ahnung.
 
[...]dann sollte das Problem erledigt sein obwohl dieses BIOS vom Juni 2014 stammt und die Sicherheitslücke erst im Oktober 2014 aufgedeckt wurde?
Kann auch zufällig durch 'ne andere Änderung mitgefixed worden sein :rolleyes: (ist nicht unwahrscheinlich, dass eine Quellcodeänderung, die eigentlich etwas Anderes bewirken soll auch solch ein Schlupfloch schließt)
Oder es ist schlichtweg 'n Zahlendreher im Datum :p
 
Die nächste Runde ist eingeläutet:

Das Firmware-Framework InsydeH2O verwenden unter anderem die Hersteller Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel und Bull Atos für ihre UEFI-BIOS-Versionen.
Mal sehen, wann die UEFI-Updates kommen.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben