Lenovo: Update-Service als weiteres massives Sicherheitsrisiko
Ende Februar sorgte der weltweit größte PC-Hersteller Lenovo mit dem Sicherheitsskandal um die Adware Superfish für Negativschlagzeilen. Kurz darauf hatte Lenovo mehrere Klagen wegen der Sicherheitspanne am Hals. Nicht nur gefährlich, sondern peinlich. Offenbar hat Lenovo auch bei seinem Update-System geschlampt und die Besitzer von Lenovo-Computern erneut einem großen Sicherheitsrisiko ausgesetzt.
Wie Michael Milvich und Sofiane Talmat von der Sicherheitsfirma IOActive herausgefunden haben, birgt das Lenovo System Update (5.6.0.27 und frühere Versionen) einige Sicherheitslöcher, die Angreifer ausnutzen können, um die Validierung beim Sicherheitscheck aus der Ferne zu umgehen, legitime Lenovo-Programme mit "bösartiger" Software zu ersetzen und sogar remote Befehle auszuführen.
Das System-Update ist auf Lenovo-PCs vorinstalliert und erlaubt es den Nutzern die neuesten Treiber und Patches von Lenovo zu erhalten. Lenovo hat inzwischen die Sicherheitslöcher gestopft und einen Fix für das Sicherheitsproblem zur Verfügung gestellt. Um auf Nummer sicher zu gehen, müssen Kunden das Update allerdings auf der speziellen Seite zum ThinkVantage System Update manuell herunterladen und installieren.