Erneut wird Lenovo von einem Skandal erschüttert und nachdem es vor mehr als einem Jahr Kritik hagelte aufgrund der mitgelieferten Superfish-Adware, betrifft es nun das hauseigene Lenovo Solution Centre.
Das Tool ist auf den meisten Lenovo-Geräten vorinstalliert und soll eigentlich nach Treiberupdates suchen, den Akku sowie die Hardware überwachen und Lücken in der Firewall schließen. Aufgrund einer Sicherheitslücke, die nun publiziert wurde, können Angreifer in einem lokalen Netzwerk auf den PC zugreifen und Programme mit Administratorrechten ausführen, wenn das Lenovo Solution Centre gestartet wird. Es ist ein durchaus schwerwiegender Fehler, welcher allerdings nicht aus der Ferne ausgenutzt werden kann. Der Nutzer des Lenovo-Geräts muss am PC eingeloggt sien und der Angreifer muss sich im selben Netzwerk befinden. Hat der Angreifer diesen Zugriff erstmal erlangt, kann er über einen System Port Befehle auf dem PC ausführen und mittels des RuInstaller-Aufforderung auch Software als Administrator ausführen, die der Angreifer im lokalen Speicher des Geräts abgelegt hat.
Fix für Lenovo Solution Centre bereits erhältlich
Lenovo wurde am 3. Dezember über die Sicherheitslücke informiert und hat rasch gehandelt, um den Fehler zu beheben. Noch am 9 Dezember wurde eine Aktualisierung für das Tool ausgeliefert, welche das Problem behebt.
Während die Behebung in diesem Fall noch geschah bevor der Fehler publik gemacht wurde, ist es dennoch unerfreulich, wenn vorinstallierte Software solche Probleme verursachen kann. Oftmals übernehmen diese Tools lediglich Aufgaben, welche ohnehin in den Windows-Einstellungen zu finden sind. Dell, Samsung und Lenovo hatten in der jüngeren Vergangenheit große Probleme mit der Software, die sie vorinstallieren und sämtliche Hersteller haben Besserung gelobt. Besonders jetzt hat sich bei Lenovo gezeigt, dass es nur ein leeres Versprechen war.
Sollte die Software noch auf eurem PC installiert sein, dann raten wir dringend zu einem Update. Unter folgendem Link könnt ihr die Aktualisierung von der offiziellen Seite von Lenovo herunterladen.
via neowin / Quelle: ThreatPost
„auf den meisten Lenovo-Geräten vorinstalliert “
Die meiste vorinstallierte Software braucht eh niemand, deshalb ist eine Neuinstallation immer zu empfehlen. Die Frage ist nur, werden die Tools auch über Windows-Update wieder installiert?
Ist das schnelle schließen nicht wichtiger als dass keine da sind? Denn das kann doch eh nur theoretisch erreicht werden oder? Und 3 tage find ich da ok
Versteh ich auch nicht. MS wird gefeiert wenn schnell eine Lücke schnell geschlossen wird. Bei lenovo wir ein Strick draus gedreht…
Na ja, ist einfach Softwaremist von den Herstellern installiert, die ich nicht auf dem Rechner haben will.
Nichts geht über ein frisches Windows ?
Ähm, ist Windows nicht auch so etwas wie eine vorinstallierte Sicherheitslücke? ;P
Und jetzt stellt sich noch die Frage, warum Wordflow „Sicherheitslücke“ nicht kennt, „Sicherheitslücken“ aber sehr wohl… ^_+
Interessante Bemerkung mit Wordflow. Das gesamte Wörterbuch kennt anscheinend nur den Plural.
Klar ist Windows selber voller Sicherheitslücken, wie jedes OS. Laut einem Test soll Windows sogar vergleichsweise sicher sein. (Ich halte dies aber bis heute nicht für ganz glaubwürdig, sollte jedoch trotzdem erwähnt werden).
Zudem werden Sicherheitslücken relativ schnell geschlossen, seit der Abschaffung der Patchdays.
Da hilft auch ein frisches Windows nichts. Einige Tools müssen einfach wieder drauf.
Aber der OEM Dreck muss weg 🙂
Da stimm ich dir voll und ganz zu. Hab aber neulich ein Lenovo Yoga mit Windows 10 neu aufgesetzt und da musste leider wieder Lenovo Software drauf damit man zugriff auf funktionen wie Schnell Ladung oder Erhaltungsladung beim Akku hat.
„Ich halte dies aber bis heute nicht für ganz glaubwürdig, sollte jedoch trotzdem erwähnt werden“
Warum nicht? Es ist immerhin das meist genutzte Betriebssystem auf PCs, insofern werden halt die meisten Sicherheitslücken gefunden und geschlossen. Unter dem Aspekt ist es absolut logisch.
Da hast du auch recht
War sowieso nur als dummer Windows Bash gemeint, wie man ihnen leider viel zu oft hört. Auch dieser Wordflow-Fail wäre wieder eine gute Grundlage für einen schlechten Windows-Witz. ?
Wenn das im Dezember war seid ihr ja top aktuell ?
„Aufgrund einer Sicherheitslücke, die nun publiziert wurde…“
Lesen sollte man dann doch alles.
Bitte nicht zuviel erwarten ?