Lenovo schließt erneut Lücke in Service-Software

Auf PCs und Laptops vom Hersteller vorinstallierte Software ist manchmal nützlich, manchmal aber auch gefährlich: System-Update-Tools können zur Trojaner-Schleuse werden. Aktuell müssen sich Nutzer des Lenovo Solution Center um ein Update kümmern.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lenovo Yoga 500

(Bild: Lenovo)

Lesezeit: 1 Min.

Das Lenovo Solution Center kann sich selbst updaten. Wenn diese Meldung erscheint, klicken Sie sie nicht reflexhaft weg.

(Bild: Lenovo)

Schon im Frühjahr kamen Sicherheitslücken in der auf Lenovo-Rechnern vorinstallierten Adware Superfish ans Licht. Im Mai wurde dann bekannt, dass Angreifer über eine auf ab Werk installierte Service-Software den Rechner übernehmen konnten: Das Tool ThinkVantage System Update dient unter anderem zum leichteren Installieren von Treiber- und BIOS-Updates. Immerhin waren die seinerzeit gefundenen Lücken nur schwer auszunutzen, weil sich der Angreifer in die Verbindung zwischen dem PC und den Lenovo-Servern hätte hacken müssen.

Offenbar ist nun auch die Service-Software-Variante Lenovo Solution Center (LSC) betroffen: Eine neue LSC-Version soll mehrere Lücken ausbessern. Wiederum konnten Angreifer laut Hersteller System-Rechte erlangen und so eigene Programme auf den anfälligen Maschinen mit Admin-Privilegien ausführen.

Kritisch daran ist, dass eine der Lücken diesmal auch über Cross-Site Request Forgery (CSRF) auszunutzen sei. Damit sind Angriffe auch aus der Ferne über kompromittierte Websites erfolgversprechend. Es genügt, dass der Anwender auf einen harmlos aussehenden Link in einer Phishing-Mail klickt. Wer LSC auf einem Lenovo-PC betreibt, sollte es deshalb unbedingt auffrischen. (ea)