Lenovo: Updates für UEFI-Firmware schließen gefährliche Lücke

Sicherheitsforscher von ESET sind auf eine Sicherheitslücke getroffen, die über 70 Laptop-Modelle inklusive der Serien ThinkBooks, IdeaPad und Yoga von Lenovo betrifft. Über einen Pufferüberlauf in der Datenübertragung des UEFI-BIOS können Angreifer auf Geräteebene Schadcode einschleusen und ausführen, noch bevor das installierte Betriebssystem bootet und Sicherheitsmechanismen greifen. Lenovo hat zeitnah reagiert und stellt für betroffene Modelle Updates bereit.

Ein Ausnutzen der Lücke ist zwar sehr gefährlich, aber immerhin wurde eine Einstufung als nicht schwerwiegend oder gar wahrscheinlich eingestuft. Auf den Support-Webseiten von Lenovo gibt es eine Liste der betroffenen Geräte sowie eine Anleitung, wie Sie zu den passenden Downloads gelangen. Insgesamt drei Lücken werden geschlossen. Sie betreffen die Treiber „ReadyBootDxe“, SystemLoadDefaultDxe“ und SystemBootManagerDxe“ in einigen Lenovo-Notebooks. Zusammengefasst werden Sie unter den Identifikationsnummern CVE-2022-1890, CVE-2022-1891 und CVE-2022-1892.

Rufen Sie auf der Lenovo-Webseite die Produktseite Ihres Gerätes auf und finden Sie den Punkt „Drivers & Software“. Gleichen Sie verfügbare Versionsnummern von Firmware-Updates mit denen in der Tabelle auf der verlinkten Webseite ab. Folgen Sie anschließend den Optionen, um ein für Sie relevantes Update herunterzuladen zu können.

Unter den betroffenen Geräten finden sich häufig zu findende Modelle wie IdeaPad 3, Legion S7, ThinkBook15-IIL oder Lenovo Yogas verschiedener Reihen. In vielen Fällen ist nur einer der genannten Treiber sicherheitsanfällig und bedarf einer Aktualisierung. Bei einigen ThinkBooks mit 14 und 15 Zoll sind alle drei Treiber zu erneuern.