Lenovo hat eine Reihe schwerwiegender BIOS-Fehler behoben, die es Hackern ermöglichen, potenziell alle Arten von verheerenden Cyberangriffen auf eine breite Palette seiner Produkte zu starten, von Desktops (wird in einem neuen Tab geöffnet) bis hin zu Laptops.
In einer Anfang dieser Woche veröffentlichten Sicherheitsempfehlung sagte das Unternehmen, dass Hunderte seiner Geräte – Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation und die ThinkSystem-Serie – für insgesamt sechs verschiedene Schwachstellen anfällig seien.
Diese Schwachstellen könnten von böswilligen Akteuren ausgenutzt werden, um vertrauliche Daten zu stehlen, Berechtigungen zu erhöhen, Denial-of-Service-Angriffe zu starten und in extremen Fällen die Ausführung willkürlichen Codes zu ermöglichen.
Datenlecks, Risiko der Ausführung willkürlichen Codes
Zu den von Lenovo behobenen Fehlern gehören CVE-2021-28216 (Pointer Flaw in TianoCore EDK II BIOS: Allows Elevation of Privilege and Execution of Arbitrary Code), CVE-2022-40134 (Information Leakage Flaw in SMI Set Bios Password SMI Handler: Allow SMM Memory Read), CVE-2022-40135 (SMI Smart USB Protection Manager Information Leak Vulnerability, Allow SMM Memory Read), CVE-2022-40136 (Default Information Leak in SMI Manager Used to configure platform settings in WMI, ermöglicht das Lesen von SMM-Speicher), CVE-2022-40137 (Pufferüberlauf im WMI-SMI-Manager, ermöglicht die Ausführung von beliebigem Code), American Megatrends Security Enhancements (kein CVE).
Die Behebung dieser Fehler ist Teil des neuesten BIOS-Updates für die oben genannten Geräte, und das Unternehmen rät allen Systemadministratoren, es sofort anzuwenden.
Weitere Korrekturen (wird in einem neuen Tab geöffnet) werden voraussichtlich vor Ende dieses Monats sowie im Oktober veröffentlicht, mit einer kurzen Liste von Modellen, die ihre Updates Anfang nächsten Jahres erhalten.
Personen, die an einer Reparatur ihrer Geräte interessiert sind (öffnet sich in einem neuen Tab), sollten zum Lenovo-Portal „Treiber und Software“ gehen, nach dem Namen ihrer Geräte suchen und „Manuelles Update“ auswählen. Dadurch wird die neueste Version der BIOS-Firmware heruntergeladen, die Sie dann manuell installieren können.
Die vollständige Liste der betroffenen Geräte finden Sie unter diesem Link (wird in einem neuen Tab geöffnet).
Über: BleepingComputer (Öffnet in einem neuen Tab)