Mehr Updates gegen die UEFI-Sicherheitslücke (3. Update)

Für die vor Monaten entdeckte Sicherheitslücke in UEFI-Firmware stellen nun mehr PC- und Mainboard-Hersteller Patches bereit, andere geben Entwarnung - und manche forschen noch.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Lesezeit: 2 Min.

UEFI-BIOS-Setup mit Secure Boot

Vor mehr als zwei Wochen berichtete heise Security über eine Sicherheitslücke in mancher UEFI-Firmware, mit der sich Schadcode ins System schleusen lassen könnte. Mittlerweile stellen nach Intel, HP und Lenovo weitere Hardware-Hersteller BIOS-Updates für verletzbare Systeme bereit. Andere geben Entwarnung: Ihre Systeme seien nicht betroffen.

Die Extreme Privilege Escalation geht auf Referenz-Code von Intel zurück, der in UEFI-Code der BIOS-Entwickler AMI und Phoenix eingeflossen ist. Deren Entwicklungsumgebungen für (UEFI-)BIOS verwenden wiederum Hersteller von Servern, Desktop-PCs, Notebooks, Mainboards und Embedded Systems mit x86-Prozessoren. Bei der Programmierung der jeweils passenden Firmware können sie aber in den modularen BIOS-"Baukästen" von AMI und Phoenix ganz unterschiedliche Komponenten auswählen – und UEFI-BIOS-Versionen, in denen der fehlerhafte Intel-Referenzcode nicht steckt, sind von dem Problem auch nicht betroffen. Es besteht auch kein Risiko, wenn ein System mit fehlerhafter UEFI-Firmware dank Compatibility Support Module (CSM) im BIOS-Modus bootet.

Intel hatte den Referenzcode schon im Mai korrigiert, AMI-Kunden können spätestens seit August auf fehlerbereinigten Code zurückgreifen. Trotzdem zeigten sich einige PC-Hersteller von den Anfragen von heise online beziehungsweise c't überrascht oder konnten sie bisher nicht antworten: Darunter etwa Acer, Gigabyte, die Lenovo-Sparte Medion und Shuttle.

[Update:] Wortmann beantwortete die Anfrage der c't mit der Auskunft, "zu diesem Thema keine Stellungnahme" abzugeben.

Asus, Asrock und MSI geben für ihre Mainboards Entwarnung: Diese seien nicht betroffen. Allerdings verspricht die Embedded-Systems-Sparte von MSI bald Updates für vier Produkte: Turo HM76 (MS-9A68), Windbox III Plus (MS-9A55), Windbox II Quad (MS-9A65) und Nova Cube Q87 (MS-9A66).

Laut dem Server-Anbieter Thomas-Krenn sind Serverboards der Supermicro-Baureihe X10 ebenfalls nicht betroffen.

Fujitsu hat Firmware-Updates für etwa 20 Systeme angekündigt, listet dort aber auch viele nicht betroffene Produkte auf. Tyan gibt an, dass einige Serverboards betroffen sein könnten, kann aber noch keine Update-Termine nennen.

[2. Update:] Auch Huawei meldet, dass die eigenen Server-Systeme nicht betroffen sind.

[3. Update:] Cisco hat die Schwachstelle ebenfalls in Produkten des Unified Computing Systems (UCS) gefunden, nämlich in Blade-Servern (B-Series) und Rack-Servern (C-Series). Ein Update ist in Arbeit. (ciw)