ThinkPad X13s: BIOS-Update schließt Schwachstellen

Publiziert am 7. Januar 2023 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Hersteller Lenovo hat in einer Sicherheitsmeldung auf eine Reihe Schwachstellen im BIOS des ThinkPad X13s hingewiesen. Diese ermöglichen eine Speicherbeschädigung (Memory Corruption) und die Offenlegung von Informationen. Es steht ein BIOS-Update zum Schließen der Schwachstellen bereit.

Lenovo listet in diesem Sicherheits-Advisory die nachfolgenden Schwachstellen auf, die eine Speicherbeschädigung (Memory Corruption) und die Offenlegung von Informationen ermöglichen.

  • CVE-2022-40516
  • CVE-2022-40517
  • CVE-2022-40518
  • CVE-2022-40519
  • CVE-2022-40520
  • CVE-2022-4432
  • CVE-2022-4433
  • CVE-2022-4434
  • CVE-2022-4435

Lenovo gibt folgende Auswirkungen dieser Schwachstellen an:

  • CVE-2022-40516, CVE-2022-40517, CVE-2022-40520: Qualcomm reported several stack-based buffer overflow vulnerabilities in Qualcomm BIOS that could allow a local attacker with elevated privileges to cause memory corruption.
  • CVE-2022-40518, CVE-2022-40519: Qualcomm reported several buffer over-read vulnerabilities in Qualcomm BIOS that could allow a local attacker with elevated privileges to cause information disclosure.
  • CVE-2022-4432, CVE-2022-4433, CVE-2022-4434, CVE-2022-4435: Several buffer over-read vulnerabilities were reported in ThinkPad X13s BIOS that could allow a local attacker with elevated privileges to cause information disclosure.

Zum Schließen der Schwachstellen sollte ein ThinkPad X13s BIOS-Update auf Version 1.47 (N3HET75W) oder neuer erfolgen. (via)

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu ThinkPad X13s: BIOS-Update schließt Schwachstellen

  1. Norddeutsch sagt:
    7. Januar 2023 um 10:51 Uhr

    Zeitnah auch einige T-Modelle zB T14 AMD: r1bul73w @ 3.1.2023 von 1.41 auf 1.42
    In TXT zum Bios: „- Fixed security issue(LEN-93889_AMD-SN-1031).“
    Dabei wirkt das Advisory von Lenovo unvollständig – oder Notice existiert noch nicht. Somit findet keiner die CVEs ..

    Wie findet man eine Lenovo-Notice LEN-93889 anderswo wenn nicht in der Hauptliste
    https://support.lenovo.com/us/en/product_security/home ?

    Der Sublink (von oben, Günter) https/support.lenovo.com/us/en/product_security/LEN-103709 ersetzt mit „LEN-93889“ geht nicht, auf AMD-url ist Nummer AMD-SN-1031 unbekannt ?

    Vom Nummernkreis bei AMD oder Lenovo könnte es auch hier um Sidechannel gehen, Für zig Profi-Firmengeräte und nicht nur X-Serie.
    Allerdings heissen die bei AMD „SB“ statt „SN“, zB AMD-SB-1034 „AMD Response to Log4j (Log4Shell) Vulnerability“.
    Was ist Unterschied zwischen „AMD-SN-1031″ und „AMD-SB-…“? Ist’s Lenovo geschuldet wenn Lenovo-intern (S)ecurity (N)otices von SB auf SN umbenennen – oder ist das eine andere Sparte?

    Dabei sind die T-Modelle mE in Firmen viel verbreiteter, Lenovo schreibt nicht drüber ?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert