Lenovo-Update-Software: Lücken mit "massivem Sicherheitsrisiko"
Der chinesische PC-Weltmarktführer Lenovo kommt aus den Negativschlagzeilen nicht heraus: Vor einigen Monaten stand man wegen der Vorinstallation von Adware unter Beschuss, nun gibt es neue Vorwürfe im Zusammenhang mit Security. Laut dem Sicherheitsunternehmen IOActive habe (bzw. hatte) das Update-System von Lenovo schwerwiegende Sicherheitslücken.
Nach Angaben der Sicherheitsforscher ist diese Lücke in Lenovo System Update 5.6.0.27 und früheren Versionen vorhanden. Die Lücke wird als "klassische Coffee Shop-Attacke" bezeichnet, zu der es kommen kann, wenn man seinen Rechner beispielsweise im Netzwerk eines Internet-Cafés aktualisiert.
Entdeckt wurden die Schwachstellen bereits im Februar, IOActive hat den Hersteller auch schon damals informiert. Das Unternehmen hat die allerdings nur mit "Medium" eingestuften Lücken auch schon gestopft, Details dazu sind in der Lenovo Security Advisory mit der Nummer LEN-2015-011 nachzulesen.
Das Update, das alle Varianten von ThinkPad, ThinkCentre, ThinkStation und die Lenovo V/B/K/E-Serien betrifft, wird allen Nutzern derartiger Geräte empfohlen, die Update-Software sollte allerdings manuell auf dieser Lenovo-Seite heruntergeladen werden.
Etwas widersprüchlich sind die Einschätzungen, wie schwerwiegend diese Lücken sind: Wie erwähnt stuft der Hersteller sie nur als "mittelschwer" ein, laut SCMagazine sprechen die Entdecker Michael Milvich und Sofiane Talmat hingegen von einem "massiven Sicherheitsrisiko".
Siehe auch: Lenovo-Notebooks hatten aggressive Adware ab Werk an Bord
System-Nutzer-Privilegien
Laut IOActive (PDF) können Hacker Validierungschecks umgehen, rechtmäßige Lenovo-Programme gegen Schad-Software ersetzen und Kommandos aus der Ferne ausführen. Eine der Schwachstellen erlaubt es potenziellen Angreifern, gefälschte Zertifikate zu erstellen, damit können zahlreiche böswillige Angriffsszenarien im "Namen" von Lenovo durchgeführt werden.Nach Angaben der Sicherheitsforscher ist diese Lücke in Lenovo System Update 5.6.0.27 und früheren Versionen vorhanden. Die Lücke wird als "klassische Coffee Shop-Attacke" bezeichnet, zu der es kommen kann, wenn man seinen Rechner beispielsweise im Netzwerk eines Internet-Cafés aktualisiert.
Entdeckt wurden die Schwachstellen bereits im Februar, IOActive hat den Hersteller auch schon damals informiert. Das Unternehmen hat die allerdings nur mit "Medium" eingestuften Lücken auch schon gestopft, Details dazu sind in der Lenovo Security Advisory mit der Nummer LEN-2015-011 nachzulesen.
Das Update, das alle Varianten von ThinkPad, ThinkCentre, ThinkStation und die Lenovo V/B/K/E-Serien betrifft, wird allen Nutzern derartiger Geräte empfohlen, die Update-Software sollte allerdings manuell auf dieser Lenovo-Seite heruntergeladen werden.
Etwas widersprüchlich sind die Einschätzungen, wie schwerwiegend diese Lücken sind: Wie erwähnt stuft der Hersteller sie nur als "mittelschwer" ein, laut SCMagazine sprechen die Entdecker Michael Milvich und Sofiane Talmat hingegen von einem "massiven Sicherheitsrisiko".
Siehe auch: Lenovo-Notebooks hatten aggressive Adware ab Werk an Bord
Thema:
Lenovos Aktienkurs
Videos zu Lenovo-Geräten
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Lenovo bringt zwei neue ThinkPads - hier sind sie im Vergleich
- Idea Tab Pro Gen 2: Großes Lenovo-Tablet für Arbeit und mehr
- Lenovo Legion Tab Gen 5: Erstes Tablet mit Snapdragon 8 Elite Gen 5
- Lenovo Idea Tab Plus: Für wen sich das günstige Tablet lohnt
Beliebt im Preisvergleich
- Notebooks:
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen