luxnote lapstore servion thinkspot
Ergebnis 1 bis 6 von 6

Thema: Schwachstelle in Intels SPI-Flash - Firmware Updates nötig

  1. #1

    Registriert seit
    12.06.2011
    Beiträge
    443
    Danke
    4
    Thanked 40 Times in 36 Posts

    Schwachstelle in Intels SPI-Flash - Firmware Updates nötig

    Link zum Bericht auf heise.de

    Liste der betroffenen Geräte und Status der Firmware Updates bei Lenovo.
    | T400 | (3x) T420 | T520 | W520 | X220 |

  2. #2

    Registriert seit
    07.09.2010
    Ort
    Berlin
    Beiträge
    3.471
    Danke
    5
    Thanked 135 Times in 129 Posts
    Ich wundere mich, dass Lenovo die L430 und L530 als betroffen bezeichnet. Welche Platform aus der Intel Liste passt hier (und nicht beim T430?)?

  3. #3
    Avatar von goemichel
    Registriert seit
    04.11.2008
    Beiträge
    999
    Danke
    8
    Thanked 7 Times in 7 Posts
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    Gruß, Michael
    Valar morghulis
    X200 [7459-D70 Win7 Pro] - X1 Carbon [20A7-0066GE Win10 Pro]

  4. #4

    Registriert seit
    18.03.2009
    Beiträge
    771
    Danke
    26
    Thanked 39 Times in 38 Posts
    Zitat Zitat von goemichel Beitrag anzeigen
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    Das Biosupdate 2.48 für das T440s kamm aber erst vor ein paar Tagen
    T440s - no camera, no microphone,Trackpad with 3 buttons, ChiMei/Innolux FHD , Win64, Linux

  5. #5
    mostly harmless Avatar von moronoxyd
    Registriert seit
    22.05.2007
    Ort
    Berlin
    Beiträge
    9.818
    Danke
    41
    Thanked 215 Times in 160 Posts
    Zitat Zitat von goemichel Beitrag anzeigen
    Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?
    In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.

    Für dein Gerät gibt es wie für mein Helix 2nd Gen anscheinend noch kein neueres BIOS, das gefixt wurde.
    D.h. du mußt jetzt warten, bis ein BIOS veröffentlicht wurde, dessen Veröffentlichungsdatum nach dem 5.4.2018 liegt.

  6. #6

    Registriert seit
    08.05.2016
    Beiträge
    704
    Danke
    50
    Thanked 98 Times in 84 Posts
    Zitat Zitat von moronoxyd Beitrag anzeigen
    In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.
    Das ist wohl nicht richtig. Wenn man sich den Kopf der Tabelle für die Thinkpads anschaut, scheinen da die Überschriften der Spalten durcheinander gewürfelt zu sein. "Firmware/BIOS/UEFI
    Minimum Fix Version" steht in allen anderen Tabellen normalerweise über den BIOS-Kennungen. Dort steht in der Thinkpad-Tabelle "Machine Type", während über eben gerade den Machine Types "Status" steht! Über der Spalte mit dem jeweiligen Datum steht in den anderen Tabellen "Firmware/BIOS/UEFI Status Last Updated", was eigentlich auch bei den Thinkpads der Fall sein sollte. Und das meint lediglich, wann auf dieser Seite der Status (also die Spalte mit den BIOS-Kennnummern) zuletzt upgedatet wurde, genau wie es auch in der Timeline der Seite oben steht, also am 05., 06., 09. oder 11.04.

    Also dieses Datum hat überhaupt nichts mit der erforderlichen BIOS-Version an sich zu tun. Wenn kein Update gegen die Lücke benötigt wird, steht in der Spalte mit den BIOS-Versionen "Not Affected", wenn noch keines veröffentlicht wurde "Researching". Wenn dort eine BIOS-Kennung mit Link erscheint, sollte das demnach eigentlich bedeuten, das diese Version bereits den Fix enthält.

    Nun, die CVE-Nummer für die Lücke lautet CVE-2017-5703, ist also noch aus 2017 und die Nummer sogar kleiner als die der Spectre/Meltdown-Lücken! Das könnte also bedeuten, dass die Lücke auch schon vor Spectre und Meltdown entdeckt wurde - also sogar noch in der ersten Hälfte des Jahres 2017! Viele als gepatcht gelistete BIOS-Versionen haben Realesedates, die teilweise deutlich früher als das Anfangsdatum der Seite liegen, z.B. über den ganzen März verteilt. Bei meinem T460p wird sogar nur das Update, das eigentlich nur den Anti-Spectre-CPU-Microcode enthalten soll, vom 09.02.2018 gelistet.

    Da ist jetzt also die Frage, ob diese Updates tatsächlich bereits so früh die entsprechenden Patches enthielten oder ob Lenovo hier bei der Liste (mal wieder) geschlampt hat. Im Changelog zum BIOS 2.22 für das T460p steht z.B. beim Update auf Version 2.19 vom Oktober 2017:
    <2.19>
    - (Important)Add INTEL secure function for SPI Write status command.
    - (Important)Add Back Flash Prevention flag.

    Das könnte also tatsächlich auf eine frühe Schließung der Lücke hinweisen.

Ähnliche Themen

  1. X2xx/s X200s: 8MByte SPI Flash WSON durch 4MByte SPI Flash SO-IC8 ersetzen
    Von jal2 im Forum X - Serie (inkl. Tablet)
    Antworten: 5
    Letzter Beitrag: 09.05.2016, 01:18
  2. X2xx/s X200s: Security Override für SPI Flash
    Von jal2 im Forum X - Serie (inkl. Tablet)
    Antworten: 0
    Letzter Beitrag: 22.03.2015, 00:39
  3. SPI Flash bei eingeschaltetem Thinkpad flashen
    Von jal2 im Forum Hardware-Ecke
    Antworten: 13
    Letzter Beitrag: 21.03.2015, 22:11
  4. Suche SPI Flash Dumps von Thinkpads jünger als T4x
    Von jal2 im Forum Suche
    Antworten: 0
    Letzter Beitrag: 14.03.2015, 22:50
  5. Tool zum Zerlegen eines Thinkpad SPI Flash Dump
    Von jal2 im Forum Hardware-Ecke
    Antworten: 0
    Letzter Beitrag: 14.03.2015, 22:38

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
CeCon ok1.de ipWeb Campus Shop CaptainNotebook RO Electronic