luxnote lapstore servion thinkspot
Ergebnis 1 bis 6 von 6

Thema: Schwachstelle in Intels SPI-Flash - Firmware Updates nötig

  1. #1

    Registriert seit
    12.06.2011
    Beiträge
    418
    Danke
    4
    Thanked 37 Times in 33 Posts

    Schwachstelle in Intels SPI-Flash - Firmware Updates nötig

    Link zum Bericht auf heise.de

    Liste der betroffenen Geräte und Status der Firmware Updates bei Lenovo.
    | T400 | (3x) T420 | T520 | W520 | X220 |

  2. #2

    Registriert seit
    07.09.2010
    Ort
    Berlin
    Beiträge
    3.370
    Danke
    5
    Thanked 121 Times in 115 Posts
    Ich wundere mich, dass Lenovo die L430 und L530 als betroffen bezeichnet. Welche Platform aus der Intel Liste passt hier (und nicht beim T430?)?

  3. #3
    Avatar von goemichel
    Registriert seit
    04.11.2008
    Beiträge
    979
    Danke
    6
    Thanked 6 Times in 6 Posts
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    Gruß, Michael
    Valar morghulis
    X200 [7459-D70 Win7 Pro] - X1 Carbon [20A7-0066GE Win10 Pro]

  4. #4

    Registriert seit
    18.03.2009
    Beiträge
    580
    Danke
    22
    Thanked 30 Times in 29 Posts
    Zitat Zitat von goemichel Beitrag anzeigen
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    Das Biosupdate 2.48 für das T440s kamm aber erst vor ein paar Tagen
    T440s - no camera, no microphone, ChiMei/Innolux FHD , DebianStretch, Win64

  5. #5
    mostly harmless Avatar von moronoxyd
    Registriert seit
    22.05.2007
    Ort
    Berlin
    Beiträge
    9.720
    Danke
    40
    Thanked 206 Times in 151 Posts
    Zitat Zitat von goemichel Beitrag anzeigen
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.

    Für dein Gerät gibt es wie für mein Helix 2nd Gen anscheinend noch kein neueres BIOS, das gefixt wurde.
    D.h. du mußt jetzt warten, bis ein BIOS veröffentlicht wurde, dessen Veröffentlichungsdatum nach dem 5.4.2018 liegt.

  6. #6

    Registriert seit
    08.05.2016
    Beiträge
    586
    Danke
    46
    Thanked 77 Times in 65 Posts
    Zitat Zitat von moronoxyd Beitrag anzeigen
    In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.
    Das ist wohl nicht richtig. Wenn man sich den Kopf der Tabelle für die Thinkpads anschaut, scheinen da die Überschriften der Spalten durcheinander gewürfelt zu sein. "Firmware/BIOS/UEFI
    Minimum Fix Version" steht in allen anderen Tabellen normalerweise über den BIOS-Kennungen. Dort steht in der Thinkpad-Tabelle "Machine Type", während über eben gerade den Machine Types "Status" steht! Über der Spalte mit dem jeweiligen Datum steht in den anderen Tabellen "Firmware/BIOS/UEFI Status Last Updated", was eigentlich auch bei den Thinkpads der Fall sein sollte. Und das meint lediglich, wann auf dieser Seite der Status (also die Spalte mit den BIOS-Kennnummern) zuletzt upgedatet wurde, genau wie es auch in der Timeline der Seite oben steht, also am 05., 06., 09. oder 11.04.

    Also dieses Datum hat überhaupt nichts mit der erforderlichen BIOS-Version an sich zu tun. Wenn kein Update gegen die Lücke benötigt wird, steht in der Spalte mit den BIOS-Versionen "Not Affected", wenn noch keines veröffentlicht wurde "Researching". Wenn dort eine BIOS-Kennung mit Link erscheint, sollte das demnach eigentlich bedeuten, das diese Version bereits den Fix enthält.

    Nun, die CVE-Nummer für die Lücke lautet CVE-2017-5703, ist also noch aus 2017 und die Nummer sogar kleiner als die der Spectre/Meltdown-Lücken! Das könnte also bedeuten, dass die Lücke auch schon vor Spectre und Meltdown entdeckt wurde - also sogar noch in der ersten Hälfte des Jahres 2017! Viele als gepatcht gelistete BIOS-Versionen haben Realesedates, die teilweise deutlich früher als das Anfangsdatum der Seite liegen, z.B. über den ganzen März verteilt. Bei meinem T460p wird sogar nur das Update, das eigentlich nur den Anti-Spectre-CPU-Microcode enthalten soll, vom 09.02.2018 gelistet.

    Da ist jetzt also die Frage, ob diese Updates tatsächlich bereits so früh die entsprechenden Patches enthielten oder ob Lenovo hier bei der Liste (mal wieder) geschlampt hat. Im Changelog zum BIOS 2.22 für das T460p steht z.B. beim Update auf Version 2.19 vom Oktober 2017:
    <2.19>
    - (Important)Add INTEL secure function for SPI Write status command.
    - (Important)Add Back Flash Prevention flag.

    Das könnte also tatsächlich auf eine frühe Schließung der Lücke hinweisen.

Ähnliche Themen

  1. X2xx X200s: 8MByte SPI Flash WSON durch 4MByte SPI Flash SO-IC8 ersetzen
    Von jal2 im Forum X - Serie (inkl. Tablet)
    Antworten: 5
    Letzter Beitrag: 09.05.2016, 01:18
  2. X2xx X200s: Security Override für SPI Flash
    Von jal2 im Forum X - Serie (inkl. Tablet)
    Antworten: 0
    Letzter Beitrag: 22.03.2015, 00:39
  3. SPI Flash bei eingeschaltetem Thinkpad flashen
    Von jal2 im Forum Hardware-Ecke
    Antworten: 13
    Letzter Beitrag: 21.03.2015, 22:11
  4. Suche SPI Flash Dumps von Thinkpads jünger als T4x
    Von jal2 im Forum Suche
    Antworten: 0
    Letzter Beitrag: 14.03.2015, 22:50
  5. Tool zum Zerlegen eines Thinkpad SPI Flash Dump
    Von jal2 im Forum Hardware-Ecke
    Antworten: 0
    Letzter Beitrag: 14.03.2015, 22:38

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
CeCon ok1.de ipWeb Campus Shop CaptainNotebook gbyte - Drupal Webentwicklung