Qualcomm und Lenovo veröffentlichen zahlreiche Patches zur Behebung von Sicherheitslücken
Qualcomm und Lenovo haben Patches herausgegeben, um eine Reihe von Sicherheitslücken in ihren Chipsätzen zu schließen, von denen einige zu Datenlecks und Speicherbeschädigungen führen können.
Im Firmware-Referenzcode des Unified Extensible Firmware Interface (UEFI) der Snapdragon-Prozessoren von Qualcomm, die in Produkten von Automobilen bis hin zur Powerline-Kommunikation eingesetzt werden, wurden Sicherheitslücken entdeckt. Diese Schwachstellen betreffen Geräte, die auf der ARM-Architektur basieren.
Laut dem Sicherheitsbulletin von Qualcomm wurden 20 verschiedene Schwachstellen gepatcht, die verschiedene Chipsätze betreffen. Grund dafür ist die Vielfalt der Produkte, die diese Chipsätze verwenden. Die betroffenen Geräte stammen aus verschiedenen Technologiebereichen, von der Automobilindustrie über Android-Konnektivität, WLAN, Powerline-Kommunikation und Kernel.
Drei der gepatchten Sicherheitslücken werden als kritisch eingestuft, und zwar wie folgt: CVE-2022-33218 (CVSS-Score 8.2; Technologie: Automobilindustrie): Speicherkorruptionsschwachstelle als Folge einer fehlerhaften Eingabevalidierung CVE-2022-33219 (CVSS-Score 9.3; Technologie: Automotive): SpeicherverfÃ?llung durch Integer- bis PufferÃ?berlauf bei der Registrierung eines neuen Listeners mit gemeinsamem Puffer. CVE-2022-33265 (CVSS-Wertung: 7.3; Technologie: Powerline-Kommunikationsfirmware): SpeicherverfÃ?llung durch Offenlegung von Informationen beim Senden mehrerer MMEs von einem einzigen, nicht verbundenen GerÃ?t.
Darüber hinaus beheben die Updates 17 weitere hoch eingestufte Sicherheitslücken, die von Qualcomm bestätigt und den entsprechenden Anbietern mitgeteilt wurden. Fünf dieser Schwachstellen betreffen auch Lenovo ThinkPad X13 Laptops. CVE-2022-40516 und CVE-2022-40517 (CVSS-Bewertung: Hoch; CVSS-Punktzahl 8.4; Technologie: Boot): Speicherbeschädigung in Core durch stapelbasierten Pufferüberlauf CVE-2022-40520 (CVSS-Wertung: Hoch; CVSS-Wertung 8.4; Technologie: Konnektivität): Beschädigung des Speichers in Core durch einen stapelbasierten Pufferüberlauf CVE-2022-40518, CVE-2022-40519 (CVSS-Einstufung: Mittel; CVSS-Punktzahl: 6,8; Technologie: Boot): Offenlegung von Informationen als Folge eines Pufferüberlaufs in Core.
Zusätzlich zu diesen Patches hat Lenovo auch einige andere Sicherheitslücken im BIOS des ThinkPad X13 geschlossen. Lenovo rät Benutzern, ihr BIOS auf Version 1.47 (N3HET75W) oder höher zu aktualisieren.
Die Sicherheitslücken haben auch Auswirkungen auf andere Unternehmen. Lenovo hat den Chip von Qualcomm übernommen. Die fünf von Binarly an Qualcomm gemeldeten Fehler betreffen auch das Lenovo ThinkPad X13 und veranlassten das Unternehmen, BIOS-Updates zu veröffentlichen, um die Sicherheitslücke zu schließen.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.