Gefährliche Sicherheitslücken in UEFI-Firmware – ThinkPad BIOS Updates von Lenovo

linrunner

linrunner

Ubuntuversteher
Themenstarter
Registriert
22 Juni 2007
Beiträge
13.683
Artikel bei heise: http://www.heise.de/open/meldung/Ex...herheitsluecken-in-UEFI-Firmware-2429297.html

Mitre-Forscher haben zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung entdeckt, die zahlreichen PC-Herstellern als Blaupause für deren UEFI-Firmware dient.
Zum Vergrößern anklicken....

Security Advisory von Lenovo: http://support.lenovo.com/us/en/product_security/uefi_edk2

Betroffene ThinkPads sind nach derzeitigem Stand (weitere in Untersuchung, siehe Advisory): T430, T440s, X230s, X240(s)
 
Schwartz schrieb:
eclypsium.com

UEFIcanhazbufferoverflow: Widespread Impact from Vulnerability in Popular PC and Server Firmware - Eclypsium | Supply Chain Security for the Modern Enterprise

Summary Eclypsium Automata, our automated binary analysis system, has identified a high impact vulnerability (CVE-2024-0762 with a reported CVSS of 7.5) in the Phoenix SecureCore UEFI firmware that runs on multiple families of Intel Core desktop and mobile processors. The issue involves an...
eclypsium.com eclypsium.com

Mal wieder Sicherheitslücken, diesmal im X1.
Zum Vergrößern anklicken....
Nicht nur dort:
However, Phoenix Technologies has subsequently acknowledged that the same issue applies to multiple versions of its SecureCore firmware that runs on Intel processor families including AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake, and TigerLake.
Zum Vergrößern anklicken....
 
Für das T490s gab es heute ein Update, es läuft auch noch! Scheint ja nicht selbstverständlich zur Zeit:

www.borncity.com

Warnung vor Lenovo L15 Gen1 (AMD) BIOS 1.33

[English]Ich stelle mal eine Warnung hier im Blog ein, die mir von einem Leser zugegangen ist. Es betrifft zumindest die Lenovo L15 Gen1 (AMD) Systeme. Der Hersteller scheint eine fehlerhafte BIOS…
www.borncity.com www.borncity.com

www.borncity.com

Lenovo L15 Gen 3: Warnung, auch hier BlackScreen nach BIOS-Update auf v1.30

[English]Nächste Warnung vor BIOS-Updates bei Lenovo Thinkpad L15 – auch die Gen 3-Modelle sind von einem Problem in der BIOS-Version 1.30 betroffen. Ein Leser hat mich die Tage informiert…
www.borncity.com www.borncity.com
 
Die nächste Runde ist eingeleitet - Heise meldet wieder einmal:
www.heise.de

UEFI-BIOS-Lücken: SecureBoot-Umgehung und Firmware-Austausch möglich

Durch Nutzung unsicherer NVRAM-Variablen ermöglichen viele UEFI-BIOS-Versionen das Umgehen von SecureBoot oder Austausch der Firmware.
www.heise.de www.heise.de

Irgendwie werde ich das Gefühl nicht los, dass UEFI nichts anderes, als eine Arbeitsbeschaffungsmaßnahme für Entwickler war. Einen wirklichen Nutzen konnte ich noch nie darin erkennen, aber man sieht ständig Probleme damit, wie auch in dem "modernen" Energie"management".
 
Oh, es hat unbeschreibliche Vorteile ... nur halt nicht für den Nutzer. Wie sonst hätte man Lawful Inspection hinbekommen sollen?
 
Die gute Nachricht ist doch, dass es noch keine fixes gibt und wir daher erst mal nicht an unseren TPs tätig werden müssen. :LOL:
 
Das war ein Argument über das Posting von Mornsgrans. Und da viele schon der Meinung sind das hat mit dem Bios was zu tun sehe ich da einen gewissen Zusammenhang.
 
Ich habe auf meinem X1 Carbon Gen 12 gestern beim Ausführen von fwupdmgr ein Update der dbx angeboten bekommen, bei dem das Thema im Changelog erwähnt wurde, allerdings lief die Installation mit der Meldung "Remote peer disconnected" nicht erfolgreich durch:
1749741356962.png
Nach einem sudo fwupdmgr refresh --force wird das Update zwar weiterhin angeboten, schlägt aber mit "No URIs to download" fehl. Ich beobachte das mal weiter...
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
Irgendwie werde ich das Gefühl nicht los, dass UEFI nichts anderes, als eine Arbeitsbeschaffungsmaßnahme für Entwickler war. Einen wirklichen Nutzen konnte ich noch nie darin erkennen, aber man sieht ständig Probleme damit
Zum Vergrößern anklicken....
Und irgendwie verdichtet sich bei mir seit ein paar Monaten ein Bild von dir. Im Schaukelstuhl oder Ohrensessel sitzend. Ein alter Mann. Nörgelnd über alles, was sich verändert. Früher war alles besser. :D
Früher hatten wir auch keine Ausfälle der Starterbatterie am Auto, der Elektronik, der Motorsteuerung oder was weiß ich was - als wir noch auf Pferdekutschen fuhren. Trotzdem möchte niemand mehr zurück zur Kutsche. Das BIOS ist inzwischen über 40 Jahre alt, das ist nicht mehr Steinzeit in der PC-Branche, sondern eher schon zurück zum Urknall. UEFI ist nun schon 20 Jahre als und seit bald 15 Jahren führt auch kaum noch ein Weg daran vorbei (auch die BIOS-Kompatibilitätsschicht CSM ist ja ein Teil von UEFI und daher kein "echtes" BIOS mehr). Die Vorteile sind nicht nur unbestreitbar, sondern vieles heutige lässt sich mit einem BIOS überhaupt gar nicht mehr lösen. Da hilft auch kein Schimpfen. Und auch kein Verschließen der Augen. Klar, mit geschlossenen Augen sieht man keinen Nutzen. Aber mit geöffneten Augen sieht man (vielleicht), dass es ohne überhaupt gar nicht geht.
 
cuco schrieb:
Im Schaukelstuhl oder Ohrensessel sitzend. Ein alter Mann. Nörgelnd über alles, was sich verändert. Früher war alles besser. :D
Zum Vergrößern anklicken....
Ohne jetzt die Kompetenz zu besitzen, mich hinreichend zum Thema BIOS/UEFI äußern zu können, möchte ich Dir gern mal die Gegenfrage stellen, ob denn alles, was sich verändert, insbesondere in diesen heutigen Zeiten, automatisch auch gut ist?
 
cuco schrieb:
Und irgendwie verdichtet sich bei mir seit ein paar Monaten ein Bild von dir. Im Schaukelstuhl oder Ohrensessel sitzend. Ein alter Mann. Nörgelnd über alles, was sich verändert. Früher war alles besser.
Zum Vergrößern anklicken....
Das Klischee schenke ich Dir ;)

Ich sehe es anders:
Nur, weil etwas "geht" oder "neu" ist, muss es nicht auch gut sein. - Seltsam, dass mit jeder "Neuerung" die Probleme - auch "Sicherheit" betreffend - immer größer werden. Das zeigt mir, dass einige mit Holzspielzeug besser bedient wären.

Was den Zeitraum angeht, so sehe ich so manche sog. "Neuerungen" schon seit Jahrzehnten kritisch und nicht erst, seit ich (stundenweise) im "Schaukelstuhl" sitze.
 
Die zwei grundlegenden Fehleinschätzungen:

1. Das war schon immer so, daher ist es gut.
2. Das ist neu, daher ist es besser.

Das alte BIOS war definitiv nicht gut, sondern eher ein Hack.
Uefi ist mMn suboptimal designed, aber es ist das was wir haben, außer den wenigen glücklichen, die Libreboot/Coreboot haben.

Uefi ermöglicht immerhin LVFS, so daß wir es bequem updaten können, hier Dank an Lenovo für den guten LVFS Support
 
Ambrosius schrieb:
Ist das der Patch für das Problem in #84?
Zum Vergrößern anklicken....
Jein, das ist das im Artikel angesprochene Update der DBX-Datenbank:
Microsoft hat 14 neue Hashes zu der DBX-Datenbank der "verbotenen Signaturen" hinzugefügt, die das Ausführen der verwundbaren UEFI-Apps unterbinden sollen.
Zum Vergrößern anklicken....
Details zu der dbx-Thematik insgesamt gibt es hier: https://blogs.gnome.org/hughsie/2020/08/17/updating-secure-boot-dbx-with-fwupd-and-the-lvfs/

Das ist aber meinem Verständnis nach nur ein Workaround, da die Apps selbst (sofern diese Bestandteil des jeweiligen UEFI sind) aktualisiert werden müssen. Hier gibt es eine Liste betroffener Hersteller: https://www.kb.cert.org/vuls/id/806555
Lenovo steht noch auf "Unknown":
1749799633182.png

Im Heise-Artikel wird allerdings noch eine zweite Vulnerability angesprochen: https://kb.cert.org/vuls/id/211341
Meinem Verständnis nach greift das Update der dbx hier nicht, da sich das nur auf die erste Schwachstelle in den DT Research-Apps bezieht. Auch hier ist noch unklar, ob Lenovo betroffen ist:
1749799732103.png
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben