Patchday: AMD, Intel und Lenovo müssen Sicherheitslecks abdichten
Die Prozessorhersteller AMD und Intel stopfen im November einige Sicherheitslücken. Lenovo korrigiert sicherheitsrelevante Fehler in BIOS und Software.
(Bild: Connect world/Shutterstock.com)
Auch die Prozessorhersteller AMD und Intel veranstalten im November einen Patchday, an dem sie mit Softwareupdates Sicherheitslücken abdichten. Computerhersteller Lenovo stopft nicht nur Sicherheitslecks im BIOS von mehreren Rechnern, sondern muss auch in der Update-Software Vantage und in Diagnostics Schwachstellen ausbessern.
Prozessor- und Firmware-Lücken
Intel hat zum November-Patchday insgesamt 24 Sicherheitsmeldungen veröffentlicht. Der Großteil betrifft BIOS-Schwachstellen, die lokalen Nutzern das Ausweiten ihrer Rechte ermöglichen. Eine Lücke ragt jedoch besonders hervor, die die Fernwartung von Systemen etwa mit vPro-Chipsätzen mittels AMT betrifft. Angreifer aus dem Netz könnten damit ihre Rechte ausweiten oder Denial-of-Service-Attacken ausführen. Active Management Technology (AMT) läuft als Dienst auf einem – im normalen Netzwerk erreichbaren – Port auf der Standard-Netzwerkkarte. Es handelt sich um mehrere Schwachstellen, wovon die schwerwiegendste einen CVSS-Wert von 8.7, entsprechend einem hohen Risiko, erreicht.
AMD hat hingegen vier Sicherheitsmerkblätter herausgegeben. Hier fällt besonders ins Auge, dass die Prozessoren bis zur Ryzen 5000-Serie ein Bug einholt, der seit 2017 kursiert: Spectre V2. Sicherheitsforscher finden offenbar immer wieder neue Kniffe, das Auftreten der Schwachstelle zu provozieren – bei allen Prozessoren- und IP-Core-Herstellern von AMD über Arm bis Intel. Durch Schwachstellen dieser Art lassen sich unbefugt Speicherbereiche auslesen, was insbesondere, aber nicht nur, in Cloud-Umgebungen problematisch ist.
Schwachstellen, die eher die Hardware betreffen, meldet auch Lenovo. Mit BIOS-Updates für zahlreiche Laptops – in der Lenovo-Meldung verlinkt – schließt der Hersteller unter anderem eine Schwachstelle in einem WMI-Setup-Treiber, durch die lokale Nutzer mit erhöhten Zugriffsrechten eine NVRAM-Variable ändern und damit Secure Boot ausknipsen könnten (CVE-2022-3430). Dasselbe kann mit einem Treiber passieren, der während des Herstellungsprozesses genutzt, fälschlicherweise anschließend jedoch nicht deaktiviert wurde (CVE-2022-3431). Als eigenständige Lücke führt Lenovo das auch noch für das Modell Ideapad Y700-14ISK – das hat das Support-Ende bereits erreicht und erhält keine Aktualisierung mehr (CVE-2022-3432).
Problematische Zusatzsoftware
Neben fälschlich aktiven Treiberresten kämpft Lenovo aber auch gegen Sicherheitslücken in der Zusatzssoftware, die unter anderem Treiber und BIOS auf den Maschinen aktualisieren soll. Schwachstellen in Lenovo Vantage ermöglichen Nutzern die Ausweitung ihrer Rechte, das Löschen von beliebigen Dateien und Verzeichnissen oder das Abstürzen lassen der betroffenen Maschine. Die Software sollte per integrierter Update-Funktion aktualisiert werden, jedoch sollten Nutzer zur Aktivierung der fehlerbereinigten Komponenten den Rechner einmal neu starten, empfiehlt Lenovo in seiner Sicherheitsmeldung.
Als hochriskant stuft das Unternehmen zudem Lücken in Lenovo Diagnostics ein. Lokale Nutzer könnten ihre Rechte im System ausweiten oder einen Systemabsturz provozieren. Auf der Webseite von Lenovo steht aktualisierte Software zum Download bereit, die betroffene Nutzer herunterladen und installieren sollten.
Zuletzt mussten AMD und Intel im Mai dieses Jahres Updates verteilen, um wichtigere Sicherheitslücken der Prozessoren abzudichten.
(dmk)
