Erneut wird Lenovo von einem Skandal erschüttert und nachdem es vor mehr als einem Jahr Kritik hagelte aufgrund der mitgelieferten Superfish-Adware, betrifft es nun das hauseigene Lenovo Solution Centre.
Das Tool ist auf den meisten Lenovo-Geräten vorinstalliert und soll eigentlich nach Treiberupdates suchen, den Akku sowie die Hardware überwachen und Lücken in der Firewall schließen. Aufgrund einer Sicherheitslücke, die nun publiziert wurde, können Angreifer in einem lokalen Netzwerk auf den PC zugreifen und Programme mit Administratorrechten ausführen, wenn das Lenovo Solution Centre gestartet wird. Es ist ein durchaus schwerwiegender Fehler, welcher allerdings nicht aus der Ferne ausgenutzt werden kann. Der Nutzer des Lenovo-Geräts muss am PC eingeloggt sien und der Angreifer muss sich im selben Netzwerk befinden. Hat der Angreifer diesen Zugriff erstmal erlangt, kann er über einen System Port Befehle auf dem PC ausführen und mittels des RuInstaller-Aufforderung auch Software als Administrator ausführen, die der Angreifer im lokalen Speicher des Geräts abgelegt hat.
Fix für Lenovo Solution Centre bereits erhältlich
Lenovo wurde am 3. Dezember über die Sicherheitslücke informiert und hat rasch gehandelt, um den Fehler zu beheben. Noch am 9 Dezember wurde eine Aktualisierung für das Tool ausgeliefert, welche das Problem behebt.
Während die Behebung in diesem Fall noch geschah bevor der Fehler publik gemacht wurde, ist es dennoch unerfreulich, wenn vorinstallierte Software solche Probleme verursachen kann. Oftmals übernehmen diese Tools lediglich Aufgaben, welche ohnehin in den Windows-Einstellungen zu finden sind. Dell, Samsung und Lenovo hatten in der jüngeren Vergangenheit große Probleme mit der Software, die sie vorinstallieren und sämtliche Hersteller haben Besserung gelobt. Besonders jetzt hat sich bei Lenovo gezeigt, dass es nur ein leeres Versprechen war.
Sollte die Software noch auf eurem PC installiert sein, dann raten wir dringend zu einem Update. Unter folgendem Link könnt ihr die Aktualisierung von der offiziellen Seite von Lenovo herunterladen.
via neowin / Quelle: ThreatPost