Warten auf Sicherheitspatches: BIOS-Lücken gefährden Lenovo-Laptops
Angreifer könnten Lenovo-Laptops attackieren und im schlimmsten Fall Schadcode ausführen. Updates sind noch nicht verfügbar.
(Bild: Tada Images/Shutterstock.com)
Sechs Sicherheitslücken im BIOS-Code vom UEFI-Systemfirmware-Entwickler Insyde gefährden die Sicherheit mehrerer Laptop-Modelle von Lenovo. Aus bislang unbekannten Gründen sollen die Patches erst Anfang August dieses Jahres erscheinen.
Wie aus einer Warnmeldung hervorgeht, stuft Lenovo den Bedrohungsgrad der Schwachstellen (CVE-2023-22614, CVE-2023-22616, CVE-2023-22613, CVE-2023-22615, CVE-2023-22612, CVE-2022-24350) insgesamt als "hoch" ein.
Patchen noch nicht möglich
Angreifer könnten dort für DoS- oder sogar Schadcode-Attacken ansetzen. Viele Informationen zu den Lücken gibt es derzeit nicht. Aufgrund von mehreren Fehlern in etwa ChipsetSvcSmm- und IhisiSmm-Komponenten in InsydeH2O mit Kernel 5.0 bis 5.5 könnten Angreifer über einen nicht näher beschriebenen Weg Speicherfehler auslösen. Das führt entweder zum Absturz oder es gelangt Schadcode in Speicherregister und wird ausgeführt. Letzteres führt in der Regel dazu, dass Angreifer die volle Kontrolle über Computer erlangen.
Davon sind unter anderem verschiedene Modelle der Laptop-Serien IdeaPad, Slim 7, ThinkBook und Yoga betroffen. Bei allen Modellen listet Lenovo auf, dass die Sicherheitspatches erst am 8. August 2023 veröffentlicht werden sollen. Warum die Veröffentlichung vor dem Schweregrad der Sicherheitslücken erst so spät erfolgt, ist unklar. Die Antwort auf eine Anfrage von heise Security steht noch aus. Ob es bis dahin für Besitzer betroffener Laptop-Modelle einen Workaround gibt und ob Angreifer die Sicherheitslücken bereits ausnutzen, geht aus der Warnmeldung nicht hervor.
(des)
