Schwachstelle in Intels SPI-Flash: Erste Firmware-Updates veröffentlicht

Ein Sicherheitsproblem in Intel-Chipsätzen ermöglicht lokalen Angreifern Firmware-Manipulationen bis hin zum Denial-of-Service. Als erster Hersteller stellt nun Lenovo BIOS/UEFI-Updates bereit.

In einem Anfang April veröffentlichten Sicherheitshinweis hat Intel vor konfigurationsbedingten Angriffsmöglichkeiten auf SPI-Flash-Chips in mehreren Chipsätzenmittels unsicherer Opcodes gewarnt. Zugleich stellte das Unternehmen auch Fixes bereit, die Lenovo nun als erster Hardware-Hersteller zu Firmware-Updates verarbeitet hat. Eine detaillierte Liste betroffener Geräte nebst Update-Links findet sich auf der Hersteller-Webseite.

Das von der Sicherheitslücke mit der Kennung CVE-2017-5703 ausgehende Risiko wurde mit einem CVSS-v3-Score von 7.9 als hoch bewertet. Eigenen Angaben zufolge hat Intel das Problem intern entdeckt. Hinweise auf aktive Exploits „in the wild“ wurden bislang nicht bekannt; dennoch ist zu hoffen, dass weitere Hersteller Lenovos Beispiel zügig folgen.

Quelle: Schwachstelle in Intels SPI-Flash: Erste Firmware-Updates veröffentlicht | heise Security