Gestern ganz vergessen. Schon im April 2022 hatten wir eine Meldung über drei Sicherheitslücken im UEFI Bios. Jetzt kommen drei weitere hinzu, die eine Reihe von Lenovo Geräten betreffen. Daher solltet ihr nachschauen, ob für euch schon ein neues Update bereitsteht.
Bei den Sicherheitslücken können Angreifer (zum Glück nur lokal) schon beim Start des Gerätes Code in der Boot-Phase ausführen. Die Sicherheitslücken, die Mitarbeiter von Eset entdeckt haben, werden wie folgt aufgelistet:
- CVE-2022-1890: Im ReadyBootDxe-Treiber einiger Lenovo-Notebook-Produkte wurde ein Pufferüberlauf festgestellt, der es einem Angreifer mit lokalen Rechten ermöglichen könnte, beliebigen Code auszuführen.
- CVE-2022-1891: In einigen Lenovo-Notebook-Produkten wurde ein Pufferüberlauf im SystemLoadDefaultDxe-Treiber entdeckt, der einem Angreifer mit lokalen Rechten die Ausführung von beliebigem Code ermöglichen könnte.
- CVE-2022-1892: In einigen Lenovo-Notebook-Produkten wurde ein Pufferüberlauf im SystemBootManagerDxe-Treiber entdeckt, der einem Angreifer mit lokalen Rechten die Ausführung von beliebigem Code ermöglichen könnte.
Lenovo hat die einzelnen Geräte und die 3 Sicherheitslücken in einer Tabelle aufgeführt, ob euer Gerät betroffen ist. Dort sind auch die Links zu den Updates enthalten. Aber auch wenn ihr nicht betroffen seid, solltet ihr das Bios-Update immer aktuell halten.
via: borncity
Lenovo Sicherheitshinweis: (Wieder) drei UEFI Firmware-Schwachstellen
Für mein Ideapad 3 15ALC6 ist die angegebene Version leider noch nicht online – letztes Update vom April.
Gilt noch abzuwarten. Bei mir kommen die immer per Windows Update rein.
Eine komplette Übersicht aller Sicherheitswarnungen kann man da aufrufen. https://support.lenovo.com/de/de/product_security/home