Schwachstelle in Intels SPI-Flash - Firmware Updates nötig

[Harry_W]

Link zum Bericht auf heise.de

Liste der betroffenen Geräte und Status der Firmware Updates bei Lenovo.

 

[jal2]

Ich wundere mich, dass Lenovo die L430 und L530 als betroffen bezeichnet. Welche Platform aus der Intel Liste passt hier (und nicht beim T430?)?

 

[goemichel]

Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?

 

[mcb]

Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?

Das Biosupdate 2.48 für das T440s kamm aber erst vor ein paar Tagen

 

[moronoxyd]

Bericht von heise vom 16.04. - Lenovo-Updates von Januar 2018. Hat hier wer gepennt?

In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.

Für dein Gerät gibt es wie für mein Helix 2nd Gen anscheinend noch kein neueres BIOS, das gefixt wurde.
D.h. du mußt jetzt warten, bis ein BIOS veröffentlicht wurde, dessen Veröffentlichungsdatum nach dem 5.4.2018 liegt.

 

[harpo]

In der Liste steht, welches MInimumdatum das BIOS haben muss, um gefixt zu sein.

Das ist wohl nicht richtig. Wenn man sich den Kopf der Tabelle für die Thinkpads anschaut, scheinen da die Überschriften der Spalten durcheinander gewürfelt zu sein. "Firmware/BIOS/UEFI
Minimum Fix Version" steht in allen anderen Tabellen normalerweise über den BIOS-Kennungen. Dort steht in der Thinkpad-Tabelle "Machine Type", während über eben gerade den Machine Types "Status" steht! Über der Spalte mit dem jeweiligen Datum steht in den anderen Tabellen "Firmware/BIOS/UEFI Status Last Updated", was eigentlich auch bei den Thinkpads der Fall sein sollte. Und das meint lediglich, wann auf dieser Seite der Status (also die Spalte mit den BIOS-Kennnummern) zuletzt upgedatet wurde, genau wie es auch in der Timeline der Seite oben steht, also am 05., 06., 09. oder 11.04.

Also dieses Datum hat überhaupt nichts mit der erforderlichen BIOS-Version an sich zu tun. Wenn kein Update gegen die Lücke benötigt wird, steht in der Spalte mit den BIOS-Versionen "Not Affected", wenn noch keines veröffentlicht wurde "Researching". Wenn dort eine BIOS-Kennung mit Link erscheint, sollte das demnach eigentlich bedeuten, das diese Version bereits den Fix enthält.

Nun, die CVE-Nummer für die Lücke lautet CVE-2017-5703, ist also noch aus 2017 und die Nummer sogar kleiner als die der Spectre/Meltdown-Lücken! Das könnte also bedeuten, dass die Lücke auch schon vor Spectre und Meltdown entdeckt wurde - also sogar noch in der ersten Hälfte des Jahres 2017! Viele als gepatcht gelistete BIOS-Versionen haben Realesedates, die teilweise deutlich früher als das Anfangsdatum der Seite liegen, z.B. über den ganzen März verteilt. Bei meinem T460p wird sogar nur das Update, das eigentlich nur den Anti-Spectre-CPU-Microcode enthalten soll, vom 09.02.2018 gelistet.

Da ist jetzt also die Frage, ob diese Updates tatsächlich bereits so früh die entsprechenden Patches enthielten oder ob Lenovo hier bei der Liste (mal wieder) geschlampt hat. Im Changelog zum BIOS 2.22 für das T460p steht z.B. beim Update auf Version 2.19 vom Oktober 2017:

<2.19>
- (Important)Add INTEL secure function for SPI Write status command.
- (Important)Add Back Flash Prevention flag.

Das könnte also tatsächlich auf eine frühe Schließung der Lücke hinweisen.