Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software OpenSSL: Lenovo, Dell und HP setzen auf uralte Software

Die UEFI-Firmware vieler Rechner enthält OpenSSL-Versionen, die teilweise mehr als 10 Jahre alt sind – Sicherheitslücken inklusive.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Lenovo, Dell und HP setzen in der UEFI-Firmware ihrer Geräte teilweise auf mehr als 10 Jahre alte Versionen von OpenSSL. Damit sind natürlich auch all die Sicherheitslücken mit an Bord, die in der Zwischenzeit geschlossen wurden. Das zeigt einmal mehr, welche gravierenden Probleme durch den Einsatz von Drittanbieter-Code in der Software-Lieferkette entstehen können.

Verschlüsselungskomponente der UEFI-Firmware setzt auf OpenSSL

Sicherheitsforscher haben in Firmware-Images für zahlreiche Geräte von Dell, HP und Lenovo veraltete Versionen von OpenSSL entdeckt. Infolgedessen sind die betroffenen Rechner weiterhin anfällig für Angriffe auf Sicherheitslücken der Verschlüsselungsbibliothek, die eigentlich längst geschlossen sind.

Das von den Herstellern in seiner zweiten Version eingesetzte EFI Development Kit (EDK) kommt als Teil einer UEFI-Firmware (Unified Extensible Firmware Interface) mit einer eigenen Verschlüsselungskomponente unter dem Namen “CryptoPkg” daher. Dieses wiederum greift dem Bericht von Binarly zufolge auf Dienste des OpenSSL-Projekts zurück.

Firmware-Pakete enthalten mehr als 10 Jahre alte Verschlüsselungsbibliothek

Die Forscher entdeckten drei verschiedene OpenSSL-Versionen in Thinkpad-Geräten von Lenovo. Selbst die neueste davon, nämlich 1.0.2j, erschien 2018 und ist damit bereits vier Jahre alt. Zwei weitere Versionen, 0.9.8zb und 1.0.0a, reichen sogar bis ins Jahr 2014 zurück.

In einem Modul mit dem Namen “InfineonTpmUpdateDxe“, das für die Aktualisierung der TPM-Firmware auf einem Infineon-Chip zuständig ist, kam sogar Version 0.9.8zb vom 4. August 2014 zum Einsatz.

Doch es kommt noch besser. Denn in einigen Firmware-Paketen von Lenovo und Dell fanden die Forscher sogar Version 0.9.8l vom 5. November 2009. Und auch in Geräten von HP kamen bis zu 10 Jahre alte OpenSSL-Versionen zum Einsatz.

Mehrere OpenSSL-Versionen im selben Binärpaket als Auswüchse von Abhängigkeiten


“Dies zeigt deutlich das Problem der Lieferkette mit Abhängigkeiten von Drittanbietern, wenn es so aussieht, als ob diese Abhängigkeiten nie ein Update erhalten haben“, heißt es in dem Bericht von Binarly.

Teilweise fanden die Forscher sogar mehrere verschiedene Versionen von OpenSSL im selben Binärpaket, was die steigende Komplexität durch Abhängigkeiten von Drittanbieter-Code verdeutlicht.

Insbesondere für Lenovo ist das längst nicht die erste Herausforderung bezüglich der Sicherheit seiner UEFI-Firmware.

Quelle; Tarnkappe
 
Zurück
Oben