Nach Superfish
Lenovo-Rechner haben weitere schwere Sicherheitslücke
Das Update-System von Lenovo-Rechnern hat eine kritische Sicherheitslücke. Nutzer sollten den bereits verfügbaren Patch schnell installieren.
Lenovo-Laptops und -Computer haben mit dem Lenovo System Update ein eigentlich praktisches Programm, das Systemkomponenten und vorinstallierte Software auf dem neuesten Stand hält. Doch eine gefährliche Sicherheitslücke hat Besitzer von Lenovo-Geräten bis Anfang April gefährdet. Ein Risiko besteht weiterhin für alle Nutzer, die das Update-Tool selbst nicht aktualisieren. Der dafür notwendige Download steht schon bereit. Darauf macht das Sicherheitsunternehmen IOActive aufmerksam.
Betroffen ist die Version 5.6.0.27 von Lenovo System Update samt der Vorgänger. Die Sicherheitslücke erlaubt Standardbenutzern, sich Administratorrechte zu verschaffen. Konkret besteht das Update-Tool aus einem Programm und einem Dienst. Das Programm agiert mit Standardrechten, während der Dienst stets mit privilegierten Rechten arbeitet. Das ist notwendig, damit auch Standardnutzer unter Windows Systemupdates einspielen können.
Lesetipp: Antivirus-Test 2015
Die Sicherheitslücke liegt nun in der Sicherheitsabfrage der Befehle, die das Programm an den Dienst weiterleitet. Das Sicherheits-Token ließe sich IOActive zufolge einfach berechnen. Ein Krimineller könnte den Sicherheitsmechanismus aufheben und als Standardnutzer munter Befehle über den Lenovo-Dienst ausführen lassen - inklusive Schadcode zum Datenausspähen. Entdeckt und gemeldet wurde die Lücke im Februar. Ein Patch erschien Mitte April. Besitzer von Lenovo-Geräten sollten also schleunigst die neue Version von Thinkvantage System Update herunterladen und installieren.
Schon im Februar hatte Lenovo mit Superfish für Aufsehen gesorgt. Die Adware war auf Lenovo-Laptops vorinstalliert, um im Browser zusätzliche Werbung anzuzeigen. Dabei konnte sie sich durch fragwürdiges Zertifikats-Management in verschlüsselte Verbindungen einklinken, selbst beim Online-Banking. Das Gefahrenpotenzial war riesig, ebenso wie das folgende Geschrei im Netz. Lenovo reagierte mit der Veröffentlichung des Removal Tools, das die Adware vom System schmiss. Dazu folgte eine Entschuldigung und eine Verbannung des Tools von neu erscheinenden Lenovo-Geräten.
Weiter zur Startseite
