Murmeltiertag bei Lenovo: Neue Lücke im Systempflege-Tool LSC

Hersteller legen ihren Produkten oft Software-Dreingaben bei, die dem Nutzer das Leben erleichtern sollen. Manchmal passiert aber das Gegenteil. Nutzer des Lenovo Solution Center sollten auf die aktuelle Version updaten.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Murmeltiertag bei Lenovo: Neue Lücke in Systempflege-Tool LSC

(Bild: Lenovo)

Lesezeit: 1 Min.

Wie viele andere Notebook- und PC-Hersteller rüstet Lenovo seine Geräte ab Werk mit Software aus, die dem Nutzer helfen soll, Systemkomponenten wie Treiber aufzufrischen. Weil Tools wie das Lenovo Solution Center (LSC) dafür mit Admin-Rechten laufen müssen, sind sie ein reizvolles Ziel für Malware-Programmierer, die darüber das System zu übernehmen hoffen. Nach dem System-Update-Service im Mai 2015 musste Lenovo im Dezember 2015 sein LSC ausbessern.

Anscheinend fand Martin Rakhmanov von Trustwave SpiderLabs kurz darauf einen neuen Bug, der eine lokale Rechteausweitung (Privilege Escalation) ermöglicht. Diese Lücke schloss Lenovo Ende April mit der LSC-Version 3.3.0002. Details zum Bug sind noch nicht veröffentlicht. Der zugehörige, im Januar angelegte Fehlerbericht CVE-2016-1876 war bei Redaktionsschluss dieser Meldung lediglich reserviert. (ea)