Firmware prüfen empfohlen: UEFI-Fehler in Millionen Lenovo-Geräten

John Woll, 19.04.2022 18:30 Uhr 9 Kommentare
Es ist ein Problem, das mehr als hundert Laptop-Modelle von Lenovo mit Millionen von Nutzern weltweit betrifft. Im Unified Extensible Firmware Interface (UEFI) wurden drei schwerwiegende Sicherheitslücken entdeckt. Das Unternehmen warnt seit gestern offiziell.

Firmware-Update dringend empfohlen, Lenovo liefert Sicherheitshinweis

Das wichtigste zuerst: Im Oktober 2021 hatte das Sicherheitsunternehmen ESET drei Lücken an Lenovo gemeldet, seit gestern hat das Unternehmen einen entsprechenden Sicherheits-Hinweis veröffentlicht, der heute noch einmal ein Update erfahren hat. Das Unternehmen hat folgende Kennzeichnungen zugewiesen:


Wie ESET in seinem heutigen Blogpost schreibt, hatte Lenovo ursprünglich den 8. Februar als Datum für eine Bekanntmachung anvisiert, dann aber am 20.01.2022 darum gebeten, die Veröffentlichung seitens der Sicherheitsforscher noch einmal zu verschieben. Lenovo liefert in seiner "Security Advisory: LEN-73440" jetzt eine Liste der betroffenen Geräte, die über 100 Modelle umfasst. Hier ist auch eine Anweisung für den Download entsprechender Updates zu finden.

"Aus Versehen" Laptops gefährdet

Sicherheitsfehler passieren, auch bei bester Prüfung. Zwei der drei schwerwiegenden Lücken, auf die heute der Sicherheitsforscher Martin Smolár von ESET noch einmal explizit hinweist, gehen aber auf einen groben Fehler seitens Lenovo zurück, der so hätte nicht passieren müssen. CVE-2021-3971 und CVE-2021-3972 betreffen demnach UEFI-Firmware-Treiber, "die ursprünglich nur während des Herstellungsprozesses von Lenovo Consumer-Notebooks verwendet werden sollten".

Der Fehler laut Smolár: "Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne dass sie ordnungsgemäß deaktiviert wurden." Während der Untersuchung dieser beiden Sicherheitsfehler waren die Forscher dann auch auf die dritte schwerwiegende Lücke (CVE-2021-3970) gestoßen.

Im Anschluss noch einmal die genaue Beschreibung der Sicherheitsfehler, die Lenovo aktuell bereitstellt:

9 Kommentare lesen & antworten
Folge WinFuture auf Google News
Verwandte Themen
Lenovo
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies