Im Oktober 2021 wurden drei Sicherheitslücken bei Lenovo gefunden. Ein Update schliesst diese bei Hunderten betroffenen Modelle.
Snapdragon Notebook Lenovo
Eine Filiale von Lenovo. - Keystone

Das Wichtigste in Kürze

  • Über hundert verschiedene Laptop-Modelle sind von drei Sicherheitslecks betroffen.
  • Für die Geräte mit den Schwachstellen hat der Hersteller bereits ein Update bereit.
  • Brisant: Zwei der drei Lücken wurden von Lenovo selbst ins System eingebaut.

Wie in einem Blogbeitrag der Sicherheitsforscher von «Eset» beschrieben, bestehen aktuell drei Sicherheitslücken bei diversen Laptops von Lenovo. Alle Lecks wurden bereits im Oktober 2021 entdeckt und auch schon gepatcht. Jetzt rät der Hersteller den Nutzenden dringlichst ein verfügbares Firmware-Update.

Lenovo selbst schuld für Schwachstellen

Das erste Leck, «CVE-2021-3970», bezieht sich auf eine SMM-Speicherbeschädigung, welche SMRAM angreifbar macht. So wird Angreifern freies Lesen und auch Schreiben auf dem Speicher ermöglicht, wodurch Schadcode eingeschleust werden kann. So richtig spannend wird es aber erst bei den zwei weiteren Schwachstellen.

hacker darknet
Ein Hacker in Aktion. (Symbolbild) - Keystone

Unter den Bezeichnungen «CVE-2021-3971» und «CVE-2021-3972» handelt es sich hier nämlich um Backdoors beim UEFI-Firmware-Treiber der Geräte. Dabei sind dies nicht etwa übersehene Lecks, sondern willentlich von Lenovo platzierte Einstiegsmöglichkeiten. Der Hersteller nutzte diese, um während der Fabrikation in die Laptops einzusteigen, vergass aber offenbar, die Backdoors wieder zu schliessen.

Lenovo Update steht zum Download bereit

Betroffen sind dabei über hundert verschiedene Modelle der Lenovo-Notebooks verschiedener Reihen. Genannt werden etwa die Reihen «Ideapad», «Legion» oder «Yoga». Ein entsprechendes Update zum Schliessen der Lücken steht bereit.

Mehr zum Thema:

Yoga