Lenovo System Update könnte Schadcode auf Computer lassen
Lenovo hat Sicherheitslücken in einer Anwendung und verschiedenen BIOS-Versionen geschlossen und Hintertüren entfernt.
(Bild: Tatiana Popova/Shutterstock.com)
Mit Lenovo System Update aktualisiert man Anwendungen, BIOS und Treiber. Nun könnten Angreifer an einer Schwachstelle ansetzen und unter bestimmten Voraussetzungen eigenen Code auf Computer schieben und ausführen.
Aus einer Warnmeldung geht hervor, dass die Lücke (CVE-2022-0354) mit dem Bedrohungsgrad „hoch“ eingestuft ist. Für eine Ausnutzung benötigt ein lokaler Angreifer Lenovo zufolge interaktiven Systemzugriff. Ist das gegeben, könnte er während der Installation eines Systemupdates Schadcode mit erhöhten Rechten ausführen.
Die Entwickler geben an, dass Systemupdate-Pakete ab 2022-02-25 nicht mehr von der Lücke betroffen sind. Die Update-Software kommt darüber hinaus in Lenovo Vantage, Commercial Vantage und Thin Installer zum Einsatz.
Hintertüren aus BIOS entfernt
Für verschiedene ThinkPad-Modelle hat der Computerhersteller gegen mögliche Attacken abgesicherte BIOS-Ausgaben veröffentlicht. Auch hier könnten Angreifer eigenen Code ausführen. Lenovo stuft die Gefahr in einem Beitrag als „mittel“ ein.
Weitere BIOS-Updates entfernen mehrere Hintertüren (CVE-2021-3970, CVE-2021-3971, CVE-2021-3972) die Lenovo zufolge "versehentlich" in BIOS-Images waren. Darüber hätten Angreifer etwa die den Secure-Boot-Schutzmechanismus deaktivieren können. Lenovo stuft das Risiko als "mittel" ein.
[UPDATE 19.04.2022 13:40 Uhr]
Betroffene Anwendungen im Fließtext ergänzt.
[UPDATE 19.04.2022 14:40 Uhr]
Meldung um entfernte BIOS-Hintertüren ergänzt.
(des)
