Die Firmware vieler Rechner von Lenovo, Dell und HP enthält veraltete Versionen von OpenSSL. Dadurch sind die Geräte weiterhin anfällig für bekannte Sicherheitslücken die längst geschlossen sein sollten. Insbesondere die UEFI-Firmware (Unified Extensible Firmware Interface) der Geräte setzt auf OpenSSL als Verschlüsselungskomponente. Doch diese greift auf Dienste zurück – die teilweise weiterhin als 10 Jahre alt sind.
Sicherheitsforscher haben veraltete OpenSSL-Versionen in Firmware-Images von Dell, HP und Lenovo entdeckt. Dabei fanden sie sogar mehrere verschiedene Versionen im selben Binärpaket was die steigende Komplexität durch Abhängigkeiten von Drittanbieter-Code verdeutlicht. Die Forscher entdeckten drei verschiedene OpenSSL-Versionen in Thinkpad-Geräten von Lenovo. Selbst die neueste Version ist bereits vier Jahre alt․ Zwei weitere Versionen reichen sogar bis ins Jahr 2014 zurück. In einem Modul mit dem Namen “InfineonTpmUpdateDxe“ kam sogar eine Version aus dem Jahr 2014 zum Einsatz.
Die fehlende Aktualisierung von Drittanbieter-Code zeigt deutlich das Problem der Lieferkette. Insbesondere für Lenovo ist das längst nicht die erste Herausforderung bezüglich der Sicherheit seiner UEFI-Firmware. Eine sichere Software-Lieferkette ist deshalb unerlässlich um solche Sicherheitslücken zu vermeiden.
Kommentare