CleanPress

Schlagwort: fwupd

  • BIOS/UEFI bei 129 Dell-Rechnern angreifbar

    Dell BIOS
    Photo by Markus Winkler on Unsplash

    Wie das Sicherheitsunternehmen Eclypsium berichtet, sind 129 Modelle von PCs und Notebooks der Firma Dell von mehreren Sicherheitslücken betroffen, die Angriffe über die BIOS-Funktion BIOSConnect erlauben. Die Lücken erlauben die Ausführung beliebigen Codes auf der Ebene von BIOS/UEFI. Die vier Schwachstellen haben einen CVSS-Score von 8.3, der der Stufe high entspricht.

    Angriff auf BIOS/UEFI-Ebene

    Die Lücken ermöglichen es einem privilegierten Netzwerkangreifer, sich als Dell.com auszugeben und beliebige Codeausführung auf der BIOS/UEFI-Ebene des betroffenen Geräts zu ermöglichen. Ein solcher Angriff würde es Angreifern erlauben, den Boot-Prozess des Geräts zu kontrollieren und das Betriebssystem und die Sicherheitskontrollen auf höherer Ebene zu unterlaufen. Das Problem betrifft 129 Dell-Modelle von Laptops, Desktops und Tablets, einschließlich Geräten, die durch Secure Boot und Dell Secured-Core-PCs geschützt sind.

    Lücken in BIOSConnect

    BIOSConnect ist eine Funktion von SupportAssist, mit der Benutzer eine Betriebssystemwiederherstellung aus der Ferne durchführen oder die Firmware auf dem Gerät aktualisieren können. In beiden Fällen ermöglicht BIOSConnect dem BIOS des Systems, sich über das Internet mit den Backend-Services von Dell in Verbindung zu setzen und dann den Aktualisierungs- oder Wiederherstellungsprozess zu koordinieren.

    Die Sicherheitsforscher bei Eclypsium haben vier Lücken entdeckt, die als CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 und CVE-2021-21574 katalogisiert wurden. Die letzten beiden Lücken konnten bereits Ende Mai serverseitig geschlossen werden, ohne dass Handlungsbedarf für die Anwender besteht. Bei CVE-2021-21571 handelt es sich um eine Sicherheitslücke bei der Zertifikatsvalidierung des Dell UEFI BIOS HTTPS-Stacks, der von der Dell BIOSConnect-Funktion und der Dell HTTPS-Boot-Funktion genutzt wird. CVE-2021-21572 beschreibt einen Pufferüberlauf bei BIOSConnect. Ein authentifizierter Angreifer mit lokalem Zugriff auf das System kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen und UEFI-Beschränkungen zu umgehen.

    Update zwingend notwendig

    Die beiden noch offenen Lücken können nur über BIOS/UEFI-Updates geschlossen werden, die Dell am 24. Juni bereitgestellt hat. Dabei soll auf keinen Fall die BIOSConnect-Funktion genutzt werden. Stattdessen ist es ratsam, die ausführbare BIOS-Datei des jeweiligen Betriebssystems zu benutzen, nachdem die Hashes manuell mit den von Dell veröffentlichten Hashes verglichen wurden. Linux-Anwender, deren Dell-Geräte von dem Firmware-Aktualisierungsdienst fwupd unterstützt werden, sollten diese für das Update nutzen, indem sie zeitnah den Befehl sudo fwupdmgr update ausführen.

  • Logitech Geräte erneut mit Sicherheitsproblemen

    Bild: Logitech Unifying by MiNe| Quelle: Flickr | Lizenz: CC BY 2.0

    Fast jeder hat das ein oder andere Logitech-Gerät zu Hause. Wenn es sich dabei um kabellose Funk-Tastaturen und -Mäuse handelt, so ist derzeit Vorsicht geboten. Nicht zum ersten Mal ist die Firmware der per Unifying-USB-Empfänger angebundenen und millionenfach verbreiteten Geräte verwundbar.

    Logitech-Geräte erneut angreifbar

    Kürzlich hat der Sicherheits-Experte Marcus Mengs erneut Sicherheitslücken in Tastaturen und Mäusen von Logitech entdeckt. Wie Mengs anschließend demonstrierte, können die Lücken mit geringem Aufwand ausgenutzt werden und erlauben das Abfangen von Tastatureingaben ebenso wie die Eingabe von eigenen Befehlen auf der Tastatur und eigener Mausklicks.

    Angriff für unter 10 Euro

    Mengs entwickelte für seine Analysen eine Angriffsmethode in Form der Software LogiTracker, die auf einigen verbreiteten USB-Funk-Sticks von Nordic, MakerDiary oder April mit dem Chip nRF52840 von Nordic Semiconductor installiert wird. Diese sind teils für unter 10 Euro im Handel zu haben.

    Patch im August

    Logitech arbeitet mittlerweile an der Schließung der Lücken, eine aktualisierte Firmware soll im August veröffentlicht werden. Zwei Lücken bleiben auch dann weiterhin offen, da Logitech diese derzeit nicht schließen kann, ohne die Kompatibilität der Unifying-Geräte untereinander zu gefährden. Derweil hilft es bereits teilweise, wenn zumindest die derzeit aktuellste Firmware aufgespielt ist.

    Firmware unter Linux aktualisieren

    Aber, Hand aufs Herz, wer aktualisiert schon Firmware für Mäuse und Tastaturen? Logitech stellt dafür jedenfalls für Windows und macOS ein Update-Tool bereit. Linux-Anwender haben es, wie so oft, wesentlich einfacher. Sie brauchen lediglich einen Befehl einzugeben, vorausgesetzt, das Paket fwupd ist installiert. Dieses Paket arbeitet mit dem Linux Vendor Firmware Service (LVHS) zusammen, über den ich bereits mehrfach berichtet habe. Für mich eine der besten Erfindungen seit dem sprichwörtlichen geschnitten Brot.

    Fwupd erlaubt unter anderem die Aktualisierung von UEFI auf am LVHS teilnehmenden Notebooks von Dell und Lenovo, von SSDs, Logitech Unified Receivern und andere Hardware. Einfacher als bei Linux geht’s kaum.

  • KDE Plasma 5.14 mit automatischen Firmware-Upgrades

    KDE Plasma 5.14 mit automatischen Firmware-Upgrades

    KDE Plasma 5.14
    Screenshot: ft

    KDE Plasma 5.14 erscheint am 9. Oktober, wirft aber bereits jetzt einen großen Schatten voraus. Das ist einer Funktion zu verdanken, die bisher die Anwendung von GNOME oder eines anderen GTK-Desktops oder eines Terminals voraussetzte. Die Rede ist von automatischen Firmware-Upgrades für viele Notebooks und andere Geräte. Dieser Dienst wurde im Rahmen des Google Summer of Code 2018 von Abjiheet Sharma für KDE realisiert.

    Aus dem laufenden System heraus

    Die Technik wurde von Red-Hat-Mitarbeiter und Gnome-Entwickler Richard Hughes ab dem Jahr 2015 entwickelt und mit Fedora 23 erstmals öffentlich verfügbar gemacht. Dabei greift der Daemon fwupd auf die Herstellerdatenbank Linux Vendor Firmware Service  (LVFS) zu, um zu überprüfen, ob ein Hersteller neue Firmware für die benutzte Hardware eingestellt hat.

    Lenovo macht mit

    Einer der ersten Hersteller, die den Dienst unterstützten war Dell. Es folgte beispielsweise Logitech mit seinen Unified-Receivern. Jetzt gelang Hughes ein großer Coup, indem er Lenovo dazu bringen konnte, den Dienst ebenfalls zu unterstützen. Die Liste der unterstützten Hardware kann sich mittlerweile sehen lassen, auch wenn andere große Hersteller wie HP und IBM noch nicht teilnehmen. Von Lenovo werden hier in den nächsten Wochen und Monaten weitere Modelle eingestellt.

    UEFI automatisch aktualisiert

    Mit Plasma 5.14 wird dieser Dienst nun auch auf der Qt-Plattform grafisch einsetzbar. War dies bisher nur mit der Anwendung »GNOME Software«  möglich, so beherrscht dies nun auch die entsprechende Plasma-Anwendung »Discover«. Zusammen mit dem üblichen Paket- und Distributions-Updates wird dann auch verfügbare Firmware angezeigt und auf Wunsch aktualisiert. So wird die Aktualisierung eines UEFI auf einen Klick reduziert. Das Update wird heruntergeladen und beim nächsten Systemstart eingespielt.

    Pre-Beta für KDE Plasma 5.14 verfügbar

    Plasma 5.14 bringt KDE Applications 18.08.0 und KDE Frameworks 5.50 mit und hat noch weitere Neuerungen aufzuweisen. Neben der Integration des fwudp-Backends in Discover wurde die Anwendung weiter grafisch aufgewertet und die einzelnen Ansichten harmonisiert. Weitere Änderungen listet Nate Graham in seinem Blog. Eine Beta-Version von Plasma 5.14 wird ab dem 13. September verfügbar sein, eine Pre-Beta ist bereits in KDE Neon in der Dev-Edition Git-Unstable verfügbar.