Notebookcheck
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Lenovo: Sicherheitslücke im UEFI aktueller PCs - möglicherweise weitere Hersteller betroffen

Lenovo: Sicherheitslücke im UEFI aktueller PCs - möglicherweise weitere Hersteller betroffen (Bild: Dmytro Oleksiuk)
Lenovo: Sicherheitslücke im UEFI aktueller PCs - möglicherweise weitere Hersteller betroffen (Bild: Dmytro Oleksiuk)
Ein Forscher hat in aktuellen ThinkPads eine Sicherheitslücke in der Firmware entdeckt. Durch diese Lücke lässt sich zum Beispiel Secureboot oder eine modifizierte Firmware aufspielen umgehen.
Benjamin Herzig,
, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 

Es gibt mal wieder eine neue schwere Sicherheitslücke, diesesmal trifft es die ThinkPad Serie von Lenovo. Ein Sicherheitsforscher namens Dmytro Oleksiuk hat sie entdeckt, mit der Lücke kann man diverse Sicherheitsmechanismen wie Secure Boot aushebeln und unter anderem auch eine modifizierte Firmware aufspielen, was bei neueren PCs eigentlich durch die Flash Write Protection verhindert werden sollte. Um die Lücke auszunutzen braucht man direkten, physikalischen Zugriff auf die Hardware, ein Angriff aus der Ferne ist nicht möglich.

Lenovo wurde durch die Veröffentlichung der Lücke unerwartet getroffen. Wie der Hersteller auf seiner Support Website mitteilte wurde die Lücke von dem Forscher veröffentlicht ohne Lenovo vorab zu informieren. Laut Lenovo stamme der Code, in dem die Lücke gefunden wurde, nicht von Lenovo selbst, sondern von einem sogenannten Independent BIOS Vendor (IBV). IBVs sind Firmen, die spezialisierte UEFI-BIOS Firmware Komponenten programmieren und an die PC Hersteller weitergeben, sie bauen ihren Code auf einem von Intel oder AMD stammenden Basis Code auf. Dies sei übliche Praxis in der Industrie, so Lenovo, man arbeite mit den drei größten IBVs zusammen.

Der Sinn und Zweck des verwundbaren Codes ist Lenovo selbst unklar. Man arbeite intensiv mit Intel und den IBVs zusammen um eventuell weitere Lücken ausfindig zu machen, und um zu klären, wer diesen Code programmiert hat und was sein Zweck ist. Laut dem chinesischen Hersteller betrifft diese Lücke nicht nur die eigenen PCs, sondern womöglich die gesamte Industrie, da die Lücke wie schon erwähnt in dem IBV Code ist, der vermutlich auch an andere Hersteller ausgeliefert wurde. Momentan ist der Umfang der Lücke noch unklar.

Quelle(n)

, , , , , ,
zu verknüpfen.
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
 
Alle 2 Beträge lesen / Antworten
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Benjamin Herzig
Benjamin Herzig - Managing Editor - 900 Artikel auf Notebookcheck veröffentlicht seit 2016
Schon zu Schulzeiten war ich ein eifriger Leser von Notebookcheck-Tests. Über hobby-mäßige Testberichte bin ich schließlich 2016 zum Notebookcheck-Team dazugestoßen und schreibe seitdem sowohl Testberichte als auch News-Artikel. Mein persönliches Interesse liegt besonders bei klassischen Laptops und insbesondere bei Business-Modellen. Technologie sollte das Leben einfacher machen und uns effizienter arbeiten lassen, und gute Laptops sind dafür heute ein zentrales Werkzeug. Darum sind die Laptop-Tests für mich nicht nur Arbeit, sondern Leidenschaft.
Kontakt: LinkedIn
Teilen Sie diesen Artikel um uns zu unterstützen. Jeder Link hilft!
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2016-07 > Lenovo: Sicherheitslücke im UEFI aktueller PCs - möglicherweise weitere Hersteller betroffen
Autor: Benjamin Herzig,  2.07.2016 (Update:  2.07.2016)