Als er ongecontroleerd beheerders toegang (root) is dan is er nog een ernstig probleem.

Wat?!

Lenovo:
- het is niet onze fout, wij hebben slechts een BIOS bij elkaar gegoogled
- het is dus niet ons probleem
- het is ons onbekend wiens fout het wel is
- het is dus hooguit een probleem voor die onbekende ontwikkelaar - en voor bezitters van Lenovo notebooks (maar gezien het aantal eerdere lekken daarin, verdrinkt 1 zo'n nieuw lekje in de ruis). Suggestie: overweeg volgende keer een ander merk. Goedkoop is duurkoop!

Dit is "gewoon" een achterdeur.

Zodat je als consument bij keuze voor een ander merk straks achteraf tegen jezelf kan zeggen "Ik weet ook niet waarom ik dit merk heb gekozen, maar ik weet wel dat Erik van Straten zei dat ik beter een ander merk kon overwewgen". ;)

Is er al een Coreboot config voor de getroffen modellen? Ik compile dan m'n eigen bios wel. Ik bedoel, wie gebruikt de 16bit calls naar het bios überhaupt nog? Meer als hardware initialisatie en een jump naar de bootloader heb je niet meer nodig tegenwoordig. De rest is alleen maar backdoors van "veiligheidsdiensten".

Coreboot: https://www.coreboot.org/

Jeetje, drama maken is ook een vak. Heb je het artikel van Lenovo wel gelezen. Ze onderzoeken momenteel welke software vendor verantwoordelijk is voor de betreffende code, welke impact het heeft en hoe ze het verder gaan oplossen. Gewoon normale gang van zaken. Alleen is het een beetje raar verwoord in dit artikel van security.nl.

@Anonymous cowards van 02-07-2016, 13:30 en 16:21: gelukkig staat het potentiële Lenovo kopers vrij om naar jullie adviezen te luisteren, of naar de mijne.

Ze kunnen natuurlijk ook googlen naar Lenovo vulnerability en de conclusie trekken dat voortdurend derden lekken blijven vinden in Lenovo meuk - en Lenovo kennelijk nog steeds niet de moeite heeft genomen om hier zelf eens goed de bezem doorheen te halen, of daar ter zake kundige mensen voor in te huren.

Daarnaast is het natuurlijk de vraag wiens bijdragen helpen bewerkstelligen dat fabrikanten hun productieprocessen op orde krijgen. Want hoewel je zo'n stroom aan lekken "normaal" (in de zin van gangbaar, zoals lekken in Adobe Flash) zou kunnen noemen, vind ik zo'n stroom lekken als bij Lenovo volstrekt onacceptabel. Hoe meer anderewangtoekeerders (of medewerkers?) zoals jullie dit soort meuk helpen gedogen, hoe langer het duurt voordat fabrikanten en leveranciers hun verantwoordelijkheid nemen.

Geen dank voor jullie bijdragen.

@ 16:21 hoe bedoel je raar verwoord, Lenovo zegt zelf dat ze niet weten wie de code maakt die ze in hun spullen stoppen:
because Lenovo did not develop the vulnerable SMM code and is still in the process of determining the identity of the original author

Heel gangbaar wie codeert er tegenwoordig nog. Je copy paste wat van internet daarmee ben je de bink (oss).
En niemand die zich afvraagt hoe zon proces beheerdersrechten kan krijgen? Wat voor admins zijn er aanwezig?

Dat laat weer eens zien dat het altijd verstandig is om standaard onder een user account te werken en niet onder een beheerders account.

NB De originele brontekst is niet leesbaar met sommige browsers (b.v.Safari). Ik moest de useragent op IE zetten om die tekst te krijgen. Blijkbaar verwachten ze niet dat een Mac gebruiker ooit hun producten gaat kopen.

Wat voor reacties had je verwacht op je eigen rant? Een stukje medeleven of steun? Je kan hier verwachten dat als je een ongefundeerde of slecht verwoorde mening of advies geeft je daarop inhoudelijk zal worden aangesproken. Wat mij betreft maakt het niet uit of iemand hier met of zonder naam reacties plaatst, zolang het maar inhoudelijk is. En als je op naam gaat ranten kan je verwachten dat je op naam een reactie terug krijgt. Net zo als we hier bedrijven bij naam noemen die hun naam gebruiken om produkten te verkopen. Pak het aub iets sportiever op.

In het sprookje dat een merk slechter of beter is op basis van het aantal security meldingen geloof ik niet. Als ik dat wel zou doen dan zou de stelling moeten opgaan dat onderzoekers evenwichtig over alle merken naar security issues zoeken en de media dat evenwichtig brengen en daar heb ik ze nog niet op kunnen betrappen.

Ook het idee dat bedrijven veiligere producten gaan leveren als we de producten maar niet meer kopen is achterhaald. Misschien ken je de tijd nog dat Microsoft nauwelijks security patches uitbracht maar zich wel negatief uit liet over open source software op basis van de openheid over security issues en patches. Microsoft is daar niet mee gestopt omdat klanten hun producten niet meer kochten.

De oplossing zit hem er in dat klanten en bedrijven waarde zien in beveiliging. Maar dat ga je niet krijgen als diezelfde klanten zelf niet snappen wanneer een security issue voor hun een probleem is en bedrijven geen extra omzet halen in het verder verbeteren van hun security processen.

Vrugâh, deed ik een update van mijn fused links bios door deze met een schroevendraaier uit mijn moederboard te wippen. de pootjes van de nieuwe bij te buigen en in het voetje te steken. kans op besmetting : heel klein .....;-)

Misschien nu nog eens terug komen op je opmerkingen? Aangezien het nu duidelijk is, dat het probleem iets groter is als Lenovo alleen? Waarschijnlijk zit het issue hem in de Intel code.
Waarbij er zelfs al een bewuste backdoor genoemd wordt.

Lenovo kan er niet zoveel aan doen, als Intel een "foutje" heeft gemaakt.

Tja... Lenovo is helemaal niet zo goedkoop. Maar hun zakelijke laptops zijn wel van zeer goede kwaliteit (maar hun software is wel voor verbetering vatbaar).