Lenovo-Update-Software: Lücken mit "massivem Sicherheitsrisiko"

Thinkpad, Lenovo ThinkPad, ThinkPad Logo, Think Bildquelle: Geek.com
Der chinesische PC-Weltmarktführer Lenovo kommt aus den Negativschlagzeilen nicht heraus: Vor einigen Monaten stand man wegen der Vorinstallation von Adware unter Beschuss, nun gibt es neue Vorwürfe im Zusammenhang mit Security. Laut dem Sicherheitsunternehmen IOActive habe (bzw. hatte) das Update-System von Lenovo schwerwiegende Sicherheitslücken.

System-Nutzer-Privilegien

Laut IOActive (PDF) können Hacker Validierungschecks umgehen, rechtmäßige Lenovo-Programme gegen Schad-Software ersetzen und Kommandos aus der Ferne ausführen. Eine der Schwachstellen erlaubt es potenziellen Angreifern, gefälschte Zertifikate zu erstellen, damit können zahlreiche böswillige Angriffsszenarien im "Namen" von Lenovo durchgeführt werden.

Nach Angaben der Sicherheitsforscher ist diese Lücke in Lenovo System Update 5.6.0.27 und früheren Versionen vorhanden. Die Lücke wird als "klassische Coffee Shop-Attacke" bezeichnet, zu der es kommen kann, wenn man seinen Rechner beispielsweise im Netzwerk eines Internet-Cafés aktualisiert.

Entdeckt wurden die Schwachstellen bereits im Februar, IOActive hat den Hersteller auch schon damals informiert. Das Unternehmen hat die allerdings nur mit "Medium" eingestuften Lücken auch schon gestopft, Details dazu sind in der Lenovo Security Advisory mit der Nummer LEN-2015-011 nachzulesen.

Das Update, das alle Varianten von ThinkPad, ThinkCentre, ThinkStation und die Lenovo V/B/K/E-Serien betrifft, wird allen Nutzern derartiger Geräte empfohlen, die Update-Software sollte allerdings manuell auf dieser Lenovo-Seite heruntergeladen werden.

Etwas widersprüchlich sind die Einschätzungen, wie schwerwiegend diese Lücken sind: Wie erwähnt stuft der Hersteller sie nur als "mittelschwer" ein, laut SCMagazine sprechen die Entdecker Michael Milvich und Sofiane Talmat hingegen von einem "massiven Sicherheitsrisiko".

Siehe auch: Lenovo-Notebooks hatten aggressive Adware ab Werk an Bord Thinkpad, Lenovo ThinkPad, ThinkPad Logo, Think Thinkpad, Lenovo ThinkPad, ThinkPad Logo, Think Geek.com
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 07:25 Uhr iFixit Classic Pro Tech Toolkit Werkzeug-Set Reparatur-Set für Smartphones Laptops Elektronik
iFixit Classic Pro Tech Toolkit Werkzeug-Set Reparatur-Set für Smartphones Laptops Elektronik
Original Amazon-Preis
54,95
Im Preisvergleich ab
52,95
Blitzangebot-Preis
39,95
Ersparnis zu Amazon 27% oder 15

Lenovos Aktienkurs

Lenovos Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Tipp einsenden