Gefährliche Sicherheitslücken in UEFI-Firmware – ThinkPad BIOS Updates von Lenovo

linrunner

Ubuntuversteher
Themenstarter
Registriert
22 Juni 2007
Beiträge
13.273
Artikel bei heise: http://www.heise.de/open/meldung/Ex...herheitsluecken-in-UEFI-Firmware-2429297.html

Mitre-Forscher haben zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung entdeckt, die zahlreichen PC-Herstellern als Blaupause für deren UEFI-Firmware dient.

Security Advisory von Lenovo: http://support.lenovo.com/us/en/product_security/uefi_edk2

Betroffene ThinkPads sind nach derzeitigem Stand (weitere in Untersuchung, siehe Advisory): T430, T440s, X230s, X240(s)
 
Mornsgrans hat es so gedeutet, dass ThinkPads (bisher) anscheinend nicht betroffen sind.

Grüße Thomas
 
Nicht "gedeutet", ich habe nur IdeaPads in der Liste gefunden.

Man kann bei Lenovo auf deren Support und Download-Seite nach den CVE-Nummern suchen und erhält dann die entsprechenden Modelle bzw. Links zur Modellliste angezeigt. - Ich hatte z.B. nach CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 gesucht (immer nur eine CVE-Nummer/Suche).
 
Der "Hammer" aus meiner Sicht ist ,dass das BIOS-Update von den entsprechenden Ideapads/Legion Geräten per Lenovo-Vantage wohl nicht immer gefunden wird !
Ich habe hier ein Legion 15 (15IMH05H) mit W11 und habe bewußt (Da ich diesen Faden /die Meldung auf Heise kannte ) mal Vantage in der Business-Variante laufen lassen und es wurde nichts gefunden ... Nochmal getestet ,wieder nichts .
Dann auf die Lenovo-Supportseite,und siehe da : Kritisches BIOS-Update !
Mittlerweile scheint Vantage nur noch zum Auslesen des Batteriestatus zu taugen !

Gruss Uwe
 
Auf Lenovo Vantage und System Update darf man sich hier nicht verlassen:
Erfahrungsgemäß werden über diese Tools die Updates erst einige Wochen nach deren Veröffentlichung angeboten.
 
Sorry,aber dann ist solch eine Software (Die ja selbst auch ein mögliches Einfallstor für Schädlinge darstellt ...) für den Anwender komplett sinnlos .
Kritische Updates müßen eingespielt werden ,Punkt !

Gruss Uwe
 
Ist ja auch in gewisser Hinsicht gut so: Es kommt ja durchaus vor, dass manch ein Patch zurückgezogen werden muss, weil in der breiten Masse dann doch irgendwelche Problemchen auftreten. Das Abwägen zwischen Risiko durch die zu behebende Schwachstelle und dem ausgiebigen Test mit möglichst vielen System ist eben ein heikles Geschäft.


Kritische Updates müßen eingespielt werden ,Punkt !
Und da nimmst du "bedingungslos" in Kauf, dass plötzlich nicht mehr gedruckt werden kann (vergleichsweise harmloser Fall) oder dein System plötzlich instabil mit einem BSOD reagiert (heftiger fall), weil der Patch nicht mit dem Treiber deiner Netzwerkkarte kompatibel ist?

Grüße Thomas
 
Zuletzt bearbeitet:
Sorry,aber dann ist solch eine Software (Die ja selbst auch ein mögliches Einfallstor für Schädlinge darstellt ...) für den Anwender komplett sinnlos .
Kritische Updates müßen eingespielt werden ,Punkt !
Werden sie aber eben "gestaged" - erst installieren "die Eiligen" es von der Webseite (Downloads werden gezählt), wenn sich da welche mit Problemen melden, wird das untersucht, ggf. behoben (oder wie mectst erwähnte zurückgezogen), und wenn sich keine Probleme zeigen nach XXXX Downloads, wird es dann in Vantage eingespeist.
Merke: Software (auch BIOS/UEFI) reift immer beim Kunden zu Ende, das ist bei jedem Produkt so. Deswegen dauerst es länger bis alle versorgt sind.
 
Kritische Updates müßen eingespielt werden ,Punkt !
Aber nicht um jeden Preis. - Gibt es bei den frühen Updatern Probleme, kann Lenovo gegensteuern und nachbessern, bevor die Masse ihre Rechner schrottet. - Microsoft ist da ein gutes Negativbeispiel.
 
Es sind aber keine ThinkPads gelistet, sondern ThinkBook, IdeaPad und Lenovo-Serie.
 
Bezüglich der ThinkPads, um die es sich primär in diesem Forum handelt - ja, siehe Thread-Titel.

Da UEFI an sich Mist ist, wird es sicher eh bald wieder neue "Enthüllungen" geben.
 
Bezüglich der ThinkPads, um die es sich primär in diesem Forum handelt - ja, siehe Thread-Titel.
Es gibt hier schon ja die Unterforen "Andere Lenovo Geräte"

Da UEFI an sich Mist ist, wird es sicher eh bald wieder neue "Enthüllungen" geben.
Davon ist natürlich auszugehen.

Grüße Thomas
 
Sieht für mich ziemlich Intel-lastig aus, oder täuscht das?
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben