Hul i BIOS til Lenovo-pc'er står åbent

Artiklen blev oprindeligt publiceret den 2/8/2016

Lenovo er i gang med at lukke et sikkerhedshul i BIOS (Basic Input Output System) på en række modeller. En angriber skal have fysisk adgang til en pc for at udnytte sårbarheden.

Sikkerhedsforsker Dmytro Oleksiuk har opdaget sårbarheden, der ligger i System Management Mode (SMM). Han har skrevet et angrebsprogram, ThinkPwn, der udnytter sårbarheden.

Lenovo oplyser, at sårbarheden stammer fra BIOS-kode, der er skrevet af en underleverandør. Firmaet har taget udgangspunkt i programkode fra Intel, som det har tilpasset til Lenovos behov. Det er ikke afklaret, hvor og hvorfor den sårbare kode blev indsat.

Lenovo arbejder på rettelser til de berørte systemer. Blandt dem er visse modeller af IdeaPad, Flex System, NeXtScale, System x, ThinkPad og ThinkServer.

Nogle opdateringer er klar, andre ventes i de kommende måneder.

Det er muligt, at BIOS fra andre producenter er berørt af samme problem.

Dmytro Oleksiuk offentliggjorde sårbarheden den 28. juni.

Anbefaling
Brugere af computere fra Lenovo skal opdatere sårbare systemer.

Links