Hunderte Modelle betroffen: Lenovo schließt schwerwiegende BIOS-Sicherheitslücken
Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode. Die Schwachstellen stecken unter anderem in grundlegendem UEFI-Code, der von allen modernen Computern verwendet wird.
Lenovo hat eine Sicherheitswarnung zu Schwachstellen im BIOS zahlreicher Notebook- und Desktop-PC-Modelle des Unternehmens veröffentlicht. Betroffen sind unter anderem die Modellreihen IdeaCentre, Legion, ThinkCentre, ThinkSystem, ThinkServer, ThinkBook, Flex, IdeaPad, Yoga, ThinkPad, ThinkStation, ThinkEdge, ThinkSmart und ThinkAgile.
Die neuen BIOS-Updates sollen mindestens fünf Schwachstellen beseitigen. Darunter ist ein Pufferüberlauf im WMI SMI Handler, der einem Angreifer mit Zugriff auf ein System das Einschleusen und Ausführen von Schadcode erlaubt. Eine Codeausführung ist auch über eine Anfälligkeit in TianoCore EDK II BIOS möglich. Laut Lenovo ist TianoCore EDL II der grundlegende quelloffene UEFI-Code, der in allen modernen Computern verwendet wird.
Die drei weiteren Sicherheitslücken haben unter Umständen zur Folge, dass Lenovo-Systeme vertrauliche Informationen preisgeben. Auch diese Bugs lassen sich nur von Angreifern mit einem lokalen Zugang zu einem System ausnutzen.
Für die meisten Schwachstellen liegen bereits Updates vor. Auch sind nicht alle Lenovo-Modelle von allen Fehlern betroffen. In Einzelfällen arbeitet das chinesische Unternehmen auch noch an passenden Fixes. Sie sollen im September beziehungsweise Oktober bereitgestellt werden. Bei Smart-Office-Produkten peilt Lenovo eine Veröffentlichung der BIOS-Update Ende Dezember an.
Die Sicherheitswarnung enthält eine Liste mit allen anfälligen Produkten und Links, über die die benötigten Updates heruntergeladen werden können. Alternativ verweist Lenovo auf die Treiber- und Software-Downloads im Support-Bereich seiner Website.