Der chinesische Rechnerhersteller Lenovo hat Updates für das BIOS/UEFI von hunderten seiner Computermodelle veröffentlicht. Diese sollen gravierende Schwachstellen (CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136, CVE-2022-40137) beseitigen, die Lenovo in einer Sicherheitsmeldung beschreibt.

Das Lenovo Security Advisory LEN-94953 Multi-Vendor BIOS Security Vulnerabilities (September 2022) zu den, von Lieferanten gemeldeten, Schwachstellen CVE-2021-28216, CVE-2022-40134, CVE-2022-40135, CVE-2022-40136 sowie CVE-2022-40137 wurde am 13. September 2022 veröffentlicht und beschreibt folgende Korrekturen durch die Updates:

  • AMI hat Sicherheitsverbesserungen für AMI BIOS veröffentlicht. Keine CVE verfügbar.
  • CVE-2021-28216: Tianocore meldete eine fixierte Pointer-Schwachstelle im TianoCore EDK II BIOS, die es einem Angreifer mit lokalem Zugriff und erhöhten Rechten erlauben könnte, beliebigen Code auszuführen. TianoCore EDK II ist der grundlegende Open-Source UEFI (BIOS) Code, der in der Industrie in allen modernen Computern verwendet wird.
  • CVE-2022-40137: Ein Pufferüberlauf im WMI SMI Handler in einigen Lenovo-Modellen könnte einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen.
  • CVE-2022-40134: Ein Informationsleck im SMI Set BIOS Password SMI Handler in einigen Lenovo-Modellen kann es einem Angreifer mit lokalem Zugriff und erhöhten Rechten ermöglichen, SMM-Speicher zu lesen.
  • CVE-2022-40135: Eine Sicherheitslücke im SMI-Handler für Smart USB Protection in einigen Lenovo-Modellen kann es einem Angreifer mit lokalem Zugriff und erweiterten Rechten ermöglichen, SMM-Speicher zu lesen.
  • CVE-2022-40136: Eine Sicherheitslücke im SMI-Handler, der zur Konfiguration der Plattformeinstellungen über WMI in einigen Lenovo-Modellen verwendet wird, kann es einem Angreifer mit lokalem Zugriff und erweiterten Rechten ermöglichen, den SMM-Speicher zu lesen.

Lenovo empfiehlt die Geräte auf die neueste BIOS-Version zu aktualisieren, schreibt aber auch, dass nicht alle angegebenen Produkte (für die Updates bereitstehen), von obigen CVEs betroffen seien. Der Hintergrund ist, dass Lenovo, sofern möglich, immer mehrere BIOS-Sicherheitskorrekturen und -Erweiterungen in so wenigen Updates wie möglich zusammen fasst. Die Downloads der aktualisierten BIOS-Versionen sind über die Lenovo-Seite erhältlich. Zudem bietet Lenovo Tools an, um das Update zu unterstützen. Nachfolgend finden sich die Links zu den Seiten mit den betroffenen Produkten:

Quelle: https://www.borncity.com/blog/2022/09/15/lenovo-bios-uefi-updates-beseitigen-sicherheitslcken-hunderte-modelle-betroffen-9-2022/