Gefährliche Sicherheitslücken in UEFI-Firmware – ThinkPad BIOS Updates von Lenovo

[linrunner]

Artikel bei heise: http://www.heise.de/open/meldung/Ex...herheitsluecken-in-UEFI-Firmware-2429297.html

Mitre-Forscher haben zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung entdeckt, die zahlreichen PC-Herstellern als Blaupause für deren UEFI-Firmware dient.

Security Advisory von Lenovo: http://support.lenovo.com/us/en/product_security/uefi_edk2

Betroffene ThinkPads sind nach derzeitigem Stand (weitere in Untersuchung, siehe Advisory): T430, T440s, X230s, X240(s)

 

[aftourss]

Ein BIOS update nur für Windows ? Braucht Linux kein BIOS? Jetzt versteh ich es nicht mehr...

 

[linrunner]

@aftourss: Du darfst schon mal die Brille putzen bevor Du meckerst. Bei den in dem Advisory angegebenen BIOS-Updates ist weit oben ein Link "BIOS Bootable CD" zu finden – wie bei allen ThinkPad BIOS Updates gewohnt.

 

[gaku]

könnten die x20er (wie T420) davon grundsätzlich nicht auch betroffen sein? ... oder sind die einfach "schon zu alt", als das Lenovo die nicht mal mehr explizit in die "zu überprüfen" Liste mit aufgenommen hat???

 

[linrunner]

@gaku: die Vermutung liegt nahe, dass die *20er auf einer älteren, nicht betroffenen Version der Intel-UEFI-Referenz basieren. Grundsätzlich ist jedoch der Beweis der Nichtexistenz immer schwierig ...

 

[ibmthink]

Die Tx20er haben eine andere, ältere UEFI Version (z.B. ohne Secureboot). Sie sind, anders als die Tx30er und Tx40er auch nicht Windows 8 zertifiziert. Laut computerbase sind nur Windows 8 zertifzierte Systeme betrofen (http://www.computerbase.de/2014-10/luecke-in-uefi-gefaehrdet-windows-8-pcs-weltweit/), wegen der anderen UEFI Version.

 

[gaku]

@ibmthink: Danke für die Erläuterung! ... gut zu wissen

 

[supertux]

Die Untersuchungen für die grundsätzlich verschiedenen T430 und T440 sind schon abgeschlossen, für die nahezu baugleichen 15" Modelle allerdings nicht
Die Logik dahinter muss ich jetzt nicht verstehen oder?

 

[mectst]

Eben entdeckt:
http://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-2430145.html

Also den Artikel, nicht ein infiziertes System bei mir

Grüße Thomas

 

[ggrohmann]

Die Untersuchungen für die grundsätzlich verschiedenen T430 und T440 sind schon abgeschlossen, für die nahezu baugleichen 15" Modelle allerdings nicht
Die Logik dahinter muss ich jetzt nicht verstehen oder?

Vermutlich nur ein internes Kommunikationsproblem - sprich, die Leute, die die Webseite pflegen, kennen diese Zusammenhänge zwischen den Modellen nicht und die Verantwortlichen bei Lenovo haben bisher nur die beiden T4xx- Modelle benannt.

 

[ibmthink]

http://support.lenovo.com/us/en/pro...ries-laptops/thinkpad-t530/downloads/DS029246

Auch beim T530 gab es z.B. kürzlich erst ein update, allerdings kann es sein, dass sie immer noch nicht sicher sind, dass die Lücke komplett geschlossen ist - oder die Website ist veraltet.

 

[aftourss]

@aftourss: Du darfst schon mal die Brille putzen bevor Du meckerst. Bei den in dem Advisory angegebenen BIOS-Updates ist weit oben ein Link "BIOS Bootable CD" zu finden – wie bei allen ThinkPad BIOS Updates gewohnt.

Das sollte nicht so rüberkommen! Ich hatte nur in dem Moment wohl echt meine Augen beiseite gelegt! Das Stand schließlich auch "Windows Utility", da hätte ich auch drauf kommen können, dass weiter unten die Datei zum flashen bereitgestellt wird!

Danke für den "Tipp" und für mich gilt jetzt gerade der hier: :facepalm::facepalm::facepalm::facepalm::facepalm::facepalm::facepalm:

 

[cyberjonny]

Und X230 und X230t sind - im Gegensatz zum (hier nahezu keine Rolle spielenden) X230s - tatsächlich explizit (noch?) nicht betroffen...?

 

[supertux]

tatsächlich explizit (noch?) nicht betroffen...?

Ich würde es eher als noch nicht geprüft, oder noch ohne Lösung bezeichnen (steht ja auf "Researching" und nicht auf "not Affected")

 

[ibmthink]

Es sind einige weitere Modelle hinzugekommen: http://support.lenovo.com/us/en/product_security/uefi_edk2

 

[Schattenlicht]

Nur mal zum Verständnis:
wenn bei einem bestimmten System in der Zeile "Status" "affected" steht und auf diesem System dasjenige BIOS installiert ist, das in der Zeile "Mininum BIOS
including Fix" aufgeführt ist, dann sollte das Problem erledigt sein obwohl dieses BIOS vom Juni 2014 stammt und die Sicherheitslücke erst im Oktober 2014 aufgedeckt wurde?
Kann ja eigentlich nur dadurch erklärt werden, daß Lenovo schon mindestes ein halbes Jahr früher Bescheid wußte und einiges gefixt hat, bevor es öffentlich wurde.

 

[Helios]

Ja, dieses BIOS schliesst den UEFI-Bug. Was mit dem Datum genau los ist, null Ahnung.

 

[supertux]

[...]dann sollte das Problem erledigt sein obwohl dieses BIOS vom Juni 2014 stammt und die Sicherheitslücke erst im Oktober 2014 aufgedeckt wurde?

Kann auch zufällig durch 'ne andere Änderung mitgefixed worden sein (ist nicht unwahrscheinlich, dass eine Quellcodeänderung, die eigentlich etwas Anderes bewirken soll auch solch ein Schlupfloch schließt)
Oder es ist schlichtweg 'n Zahlendreher im Datum

 

[Schattenlicht]

Oder es ist schlichtweg 'n Zahlendreher im Datum

Das läßt sich ausschliessen, denn ich kann mich noch gut dran erinnern, wie ich vor nem halben Jahr genau dieses BIOS installiert hatte - sprich: es ist wirklich etliche Monate vor Bekanntwerden der Lücke herausgekommen.

 

[Mornsgrans]

Die nächste Runde ist eingeläutet:

Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung

Zahlreiche Bugs in UEFI-BIOS-Versionen der Firma Insyde H2O betreffen auch große PC-Hersteller. Sie erleichtern gezielte Angriffe auf Desktop-PCs und Notebooks.

www.heise.de

Das Firmware-Framework InsydeH2O verwenden unter anderem die Hersteller Fujitsu, Siemens, Dell, HP, HPE, Lenovo, Microsoft, Intel und Bull Atos für ihre UEFI-BIOS-Versionen.

Mal sehen, wann die UEFI-Updates kommen.