Der Unterhaltungselektronikhersteller Lenovo hat am Dienstag Korrekturen für drei Sicherheitslücken in seiner UEFI-Firmware veröffentlicht, die über 70 Produktmodelle betreffen.
„Die Schwachstellen können ausgenutzt werden, um in den frühen Phasen des Bootvorgangs der Plattform beliebigen Code auszuführen, was es den Angreifern möglicherweise ermöglicht, den Ausführungsfluss des Betriebssystems zu kapern und einige wichtige Sicherheitsfunktionen zu deaktivieren“, erklärte das slowakische Cybersicherheitsunternehmen ESET in einer Reihe von Tweets.
Alle drei Fehler mit den Bezeichnungen CVE-2022-1890, CVE-2022-1891 und CVE-2022-1892 betreffen Pufferüberlaufschwachstellen, die nach Angaben von Lenovo zu einer Privilegienerweiterung auf den betroffenen Systemen führen. Martin Smolár von ESET wurde für die Meldung der Schwachstellen verantwortlich gemacht.
Die Fehler sind auf eine unzureichende Validierung einer NVRAM-Variable namens „DataSize“ in drei verschiedenen Treibern ReadyBootDxe, SystemLoadDefaultDxe und SystemBootManagerDxe zurückzuführen, was zu einem Pufferüberlauf führt, der zur Ausführung von Code genutzt werden kann.
Dies ist das zweite Mal, dass Lenovo seit Anfang des Jahres UEFI-Sicherheitslücken behebt. Im April hat das Unternehmen drei ebenfalls von Smolár entdeckte Schwachstellen (CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972) behoben, die zur Installation und Ausführung von Firmware-Implantaten missbraucht werden konnten.
Den Nutzern der betroffenen Geräte wird dringend empfohlen, ihre Firmware auf die neueste Version zu aktualisieren, um mögliche Bedrohungen zu entschärfen.