Lenovo-Update-Software: Lücken mit "massivem Sicherheitsrisiko"

System-Nutzer-Privilegien

Laut IOActive (PDF) können Hacker Validierungschecks umgehen, rechtmäßige Lenovo-Programme gegen Schad-Software ersetzen und Kommandos aus der Ferne ausführen. Eine der Schwachstellen erlaubt es potenziellen Angreifern, gefälschte Zertifikate zu erstellen, damit können zahlreiche böswillige Angriffsszenarien im "Namen" von Lenovo durchgeführt werden.

Nach Angaben der Sicherheitsforscher ist diese Lücke in Lenovo System Update 5.6.0.27 und früheren Versionen vorhanden. Die Lücke wird als "klassische Coffee Shop-Attacke" bezeichnet, zu der es kommen kann, wenn man seinen Rechner beispielsweise im Netzwerk eines Internet-Cafés aktualisiert.

Entdeckt wurden die Schwachstellen bereits im Februar, IOActive hat den Hersteller auch schon damals informiert. Das Unternehmen hat die allerdings nur mit "Medium" eingestuften Lücken auch schon gestopft, Details dazu sind in der Lenovo Security Advisory mit der Nummer LEN-2015-011 nachzulesen.

Das Update, das alle Varianten von ThinkPad, ThinkCentre, ThinkStation und die Lenovo V/B/K/E-Serien betrifft, wird allen Nutzern derartiger Geräte empfohlen, die Update-Software sollte allerdings manuell auf dieser Lenovo-Seite heruntergeladen werden.

Etwas widersprüchlich sind die Einschätzungen, wie schwerwiegend diese Lücken sind: Wie erwähnt stuft der Hersteller sie nur als "mittelschwer" ein, laut SCMagazine sprechen die Entdecker Michael Milvich und Sofiane Talmat hingegen von einem "massiven Sicherheitsrisiko".

Siehe auch: Lenovo-Notebooks hatten aggressive Adware ab Werk an Bord