Forscher von ESET haben drei Sicherheitslücken entdeckt und analysiert, die verschiedene Lenovo-Laptop-Modelle für Privatanwender betreffen. Die ersten beiden dieser Schwachstellen (gelistet unter CVE-2021-3971 und CVE-2021-3972) betreffen UEFI-Firmware-Treiber. Die Forscher beschreiben die Lücken als Backdoors. Die Backdoors stammen von Lenovo selbst und sollte eigentlich nur während des Fertigungsprozesses zugänglich sein – durch einen Fehler seien sie ins BIOS-Image gelangt, welches auch Endanwendern zugänglich gemacht wurde. Lenovo stuft das Problem mit dem Schweregrad „Medium“ ein, Abhilfe und betroffene Modelle nennt man hier.
Es wurde auch eine Sicherheitsanfälligkeit in der Software „Lenovo System Update“ gemeldet, die es einem lokalen Benutzer mit interaktivem Systemzugriff ermöglichen könnte, Code mit erhöhten Rechten auszuführen, und zwar nur während der Installation eines System Update-Pakets, das vor dem 25.02.2022 veröffentlicht wurde und ein Eingabeaufforderungsfenster anzeigt. Diese Lücke wird mit dem Schweregrad „Hoch“ eingestuft. System-Update-Pakete mit einem Veröffentlichungsdatum nach dem 25.02.2022 sind nicht betroffen.
Quelle; caschy
Es wurde auch eine Sicherheitsanfälligkeit in der Software „Lenovo System Update“ gemeldet, die es einem lokalen Benutzer mit interaktivem Systemzugriff ermöglichen könnte, Code mit erhöhten Rechten auszuführen, und zwar nur während der Installation eines System Update-Pakets, das vor dem 25.02.2022 veröffentlicht wurde und ein Eingabeaufforderungsfenster anzeigt. Diese Lücke wird mit dem Schweregrad „Hoch“ eingestuft. System-Update-Pakete mit einem Veröffentlichungsdatum nach dem 25.02.2022 sind nicht betroffen.
Quelle; caschy