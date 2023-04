Sechs Sicherheitslücken im BIOS-Code vom UEFI-Systemfirmware-Entwickler Insyde gefährden die Sicherheit mehrerer Laptop-Modelle von Lenovo. Aus bislang unbekannten Gründen sollen die Patches erst Anfang August dieses Jahres erscheinen.

Wie aus einer Warnmeldung hervorgeht, stuft Lenovo den Bedrohungsgrad der Schwachstellen (CVE-2023-22614, CVE-2023-22616, CVE-2023-22613, CVE-2023-22615, CVE-2023-22612, CVE-2022-24350) insgesamt als "hoch" ein.

Patchen noch nicht möglich

Angreifer könnten dort für DoS- oder sogar Schadcode-Attacken ansetzen. Viele Informationen zu den Lücken gibt es derzeit nicht. Aufgrund von mehreren Fehlern in etwa ChipsetSvcSmm- und IhisiSmm-Komponenten in InsydeH2O mit Kernel 5.0 bis 5.5 könnten Angreifer über einen nicht näher beschriebenen Weg Speicherfehler auslösen. Das führt entweder zum Absturz oder es gelangt Schadcode in Speicherregister und wird ausgeführt. Letzteres führt in der Regel dazu, dass Angreifer die volle Kontrolle über Computer erlangen.

Davon sind unter anderem verschiedene Modelle der Laptop-Serien IdeaPad, Slim 7, ThinkBook und Yoga betroffen. Bei allen Modellen listet Lenovo auf, dass die Sicherheitspatches erst am 8. August 2023 veröffentlicht werden sollen. Warum die Veröffentlichung vor dem Schwerergrad der Sichehreitslücken erst so spät erfolgt, ist unklar. Die Antwort auf eine Anfrage von heise Security steht noch aus. Ob es bis dahin für Besitzer betroffener Laptop-Modelle einen Workaround gibt und ob Angreifer die Sicherheitslücken bereits ausnutzen, geht aus der Warnmeldung nicht hervor.

(des)