Lenovo sichert Update-Service ThinkVantage ab

Ein Sicherheitsupdate schließt zwei Lücken im Aktualisierungstool ThinkVantage für Lenovo-Computer. Angreifer können über die Schwachstellen Admin-Konten kapern und sich höhere Rechte erschleichen.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Lenovo-Shop

(Bild: dpa, Diego Azubel/Archiv)

Lesezeit: 1 Min.

Lenovos System-Update-Service ThinkVantage ist in der Version 5.07.0013 verwundbar (PDF-Download), warnen Sicherheitsforscher von IOActive. Mit dem Tool sollen Nutzer von Lenovo-Computern Anwendungen und Treiber bequem aktualisieren können. Lenovo hat die abgesicherte Version 5.07.0019 zum Download bereitgestellt.

Über die Lücke mit der Kennung CVE-2015-8109 sollen Angreifer Passwörter von Nutzerkonten vergleichsweise einfach erraten können. Schuld daran ist ein Rückfall auf einen schwachen Algorithmus zur Generierung von Passwörtern, erläutert der Kryptologe Sofiane Talmat. Talmat zufolge muss der Angreifer Zugang zum Rechner haben und er muss wissen, wann der zu knackende Account erzeugt wurde. Den schwachen Algorithmus müsse der Angreifer zudem erzwingen.

Die zweite Lücke (CVE-2015-8110) sollen Angreifer zum Erhöhen von Nutzerrechten nutzen können. Anschließend könne ein Angreifer verschiedene Sicherheitsfunktionen deaktivieren und Schadcode in das System schmuggeln. Der Übergriff kann auch aus der Ferne stattfinden, warnt Talmat. (des)