Lenovo znów pod lupą - trzy luki w fabrycznym oprogramowaniu

Instalowany przez Lenovo program Supefish stał się przyczyną dość głośnego skandalu, a po kilku miesiącach okazuje się, że oprogramowanie chińskiego producenta ma jeszcze inne luki.

Tym razem chodzi o "słabe punkty", jakie znajdują się w funkcji System Update. Odkryli je eksperci do spraw bezpieczeństwa z firmy IOActive. Pierwsza luka umożliwia w sposób zdalny lub lokalny na podmienienie certyfikowanych przez Lenovo aplikacji na szkodliwe odpowiedniki. Druga związana jest z tokenami bezpieczeństwa Lenovo, a ostatnia - umożliwia lokalnym użytkownikom uruchamianie komend z pozycji administratora. Te trzy niedoskonałości znajdują się w oprogramowaniu takich produktów jak ThinkPad, ThinkCenter oraz ThinkStation.

ThinkCentre M83 SFF Pro (foto: Lenovo)

ThinkCentre M83 SFF Pro (foto: Lenovo)

Posiadacze sprzętu Lenovo nie muszą wpadać w panikę - pierwszym, co zrobili ludzie z IOActive, było poinformowanie chińskiego producenta o wykrytych defektach, a dopiero po wypuszczeniu przez niego łatki do fabrycznego oprogramowania poinformowano świat o całej sprawie. Aby sprawdzić aktualną wersję swojego oprogramowania Lenovo System Update, należy wejść do tej opcji, kliknąć na zielony pytajnik w prawym, górnym rogu, a następnie wybrać opcję "About". Jeżeli pokaże się wersja 5.6.0.27 lub wcześniejsze, należy dokonać aktualizacji oprogramowania.

Aktualizacja: 07 maja 2015 12:45

Po publikacji newsa polski oddział Lenovo przesłał nam oficjalne oświadczenie, które publikujemy:

W sprawie luki w zabezpieczeniach aplikacji Lenovo System Update zespoły deweloperów i specjalistów ds. zabezpieczeń Lenovo współpracowały bezpośrednio z firmą IOActive. Cenimy jej doświadczenie w identyfikacji luk w zabezpieczeniach oraz odpowiedzialność, jaką wykazuje w ich ujawnianiu. Firma Lenovo udostępniła 1 kwietnia zaktualizowaną wersję aplikacji Lenovo System Update, która usuwa te luki, a następnie opublikowała we współpracy z IOActive poradę dotyczącą zabezpieczeń pod adresem https://support.lenovo.com/us/en/product_security/lsu_privilege.

Wcześniejsze wersje aplikacji Lenovo System Update będą po uruchomieniu pytać użytkowników o zgodę na automatyczną instalację zaktualizowanej wersji. Użytkownicy mogą też zaktualizować aplikację System Update ręcznie, zgodnie z opisem zamieszczonym w poradzie dotyczącej zabezpieczeń. Lenovo zaleca wszystkim użytkownikom aktualizację aplikacji System Update w celu wyeliminowania luk w zabezpieczeniach zgłoszonych przez IOActive. Lenovo z zasady zachęca użytkowników do zezwalania na automatyczne aktualizacje, co umożliwi zachowanie aktualności systemu.


Zobacz również