Lenovo i 3 luki fabrycznego oprogramowania

Lenovo miało już głośny skandal na temat luk i było to związane z instalowaniem oprogramowania „Superfish”. Teraz chodzi o braki w funkcji System Update, które odkryli experci z firmy IOActive. Luka nr.1 pozwala na zdalne lub lokalne podmienienie certyfikowanych aplikacji producenta na szkodliwe zamienniki. Nr.2 dotyczy tzw. Tokenów bezpieczeństa firmy Lenovo. Nr.3 natomiast pozwala lokalnym, zwykłym użytkownikom uruchamianie komend z pozycji administratora. Te luki można znaleźć w produktach: ThinkPad, ThinkStation oraz ThinkCenter. pobranePosiadacze sprzętu tego chińskiego producenta nie muszą panikować. Pierwszym krokiem ludzi zbyło poinformowanie Lenovo o całej sytuacji, a dopiero w momencie wypuszczenia odpowiedniej łatki do oprogramowania informowanie o całej sprawie cały świat. Chcesz sprawdzić wersję Lenovo System Update zainstalowanego na twoim komputerze? Kliknij na zielony znak zapytania na górnym rogu i kliknij „about”. Jeśli będzie tam pisało wersja 5.6.0.27 lub wcześniejsza zaktualizuj oprogramowanie. W całość wszystko łączy też oficjalne oświadczenie Lenovo:

„W sprawie luki w zabezpieczeniach aplikacji Lenovo System Update zespoły deweloperów i specjalistów ds. zabezpieczeń Lenovo współpracowały bezpośrednio z firmą IOActive. Cenimy jej doświadczenie w identyfikacji luk w zabezpieczeniach oraz odpowiedzialność, jaką wykazuje w ich ujawnianiu. Firma Lenovo udostępniła 1 kwietnia zaktualizowaną wersję aplikacji Lenovo System Update, która usuwa te luki, a następnie opublikowała we współpracy z IOActive poradę dotyczącą zabezpieczeń pod adresem https://support.lenovo.com/us/en/product_security/lsu_privilege.

Wcześniejsze wersje aplikacji Lenovo System Update będą po uruchomieniu pytać użytkowników o zgodę na automatyczną instalację zaktualizowanej wersji. Użytkownicy mogą też zaktualizować aplikację System Update ręcznie, zgodnie z opisem zamieszczonym w poradzie dotyczącej zabezpieczeń. Lenovo zaleca wszystkim użytkownikom aktualizację aplikacji System Update w celu wyeliminowania luk w zabezpieczeniach zgłoszonych przez IOActive. Lenovo z zasady zachęca użytkowników do zezwalania na automatyczne aktualizacje, co umożliwi zachowanie aktualności systemu.”