For tredje gang på seks måneder er Lenovo på grund af sikkerheds-problemer nødt til at haste-udsende en opdatering af de software-programmer, som Lenovo-computerne leveres med, når de bliver solgt i butikkerne.
Lenovo har udsendt en ny version – 5.07.0019 – af Lenovo System Update (tidligere ThinkVantage System Update), som er det program, som Lenovo anvender til at holde drivere og BIOs opdateret på selskabets computerne.
Opdateringen løser to sårbarheder i programmet, som er blevet opdaget af sikkerhedsfirmaet IOActive.
Den ene sårbarhed findes i programmets hjælpe-funktion og gør det muligt for brugere uden fulde Windows-rettigheder at åbne Internet Explorer med en administrators rettigheder ved at klikke på url-adresser i hjælpe-funktionen.
Kan udnytte webbrowseren
Dette skyldes ifølge Lenovo, at Lenovo System Update er konstrueret på en måde, der giver programmet ret til at køre med administrator-rettigheder.
“Og derfra har en angriber uden rettigheder mange muligheder for at udnytte web-browseren til at godkende sig selv som administrator eller System,” lyder det fra IOActive i denne blog-post
Den anden sårbarhed findes i den måde, hvorpå programmet tildeler administrator-rettigheder og tildeler brugernavn og passwords.
Her er det muligt for udenforstående at genskabe anvendte brugernavne og password.
Lenovo opdaterede på lignende måde System Update i både juli og oktober.
Det kan du læse mere om her: Først var det crapwaren Superfish – nu lukker Lenovo alvorlige systemhuller.
Leave a Reply