Lenovo schließt erneut Lücke in Service-Software
Auf PCs und Laptops vom Hersteller vorinstallierte Software ist manchmal nützlich, manchmal aber auch gefährlich: System-Update-Tools können zur Trojaner-Schleuse werden. Aktuell müssen sich Nutzer des Lenovo Solution Center um ein Update kümmern.
![Lenovo Yoga 500](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/7/1/2/1/8/1/lenovo-yoga-500-1191d2b0b67562d7.jpeg)
(Bild: Lenovo)
(Bild: Lenovo)
Schon im Frühjahr kamen Sicherheitslücken in der auf Lenovo-Rechnern vorinstallierten Adware Superfish ans Licht. Im Mai wurde dann bekannt, dass Angreifer über eine auf ab Werk installierte Service-Software den Rechner übernehmen konnten: Das Tool ThinkVantage System Update dient unter anderem zum leichteren Installieren von Treiber- und BIOS-Updates. Immerhin waren die seinerzeit gefundenen Lücken nur schwer auszunutzen, weil sich der Angreifer in die Verbindung zwischen dem PC und den Lenovo-Servern hätte hacken müssen.
Offenbar ist nun auch die Service-Software-Variante Lenovo Solution Center (LSC) betroffen: Eine neue LSC-Version soll mehrere Lücken ausbessern. Wiederum konnten Angreifer laut Hersteller System-Rechte erlangen und so eigene Programme auf den anfälligen Maschinen mit Admin-Privilegien ausführen.
Kritisch daran ist, dass eine der Lücken diesmal auch über Cross-Site Request Forgery (CSRF) auszunutzen sei. Damit sind Angriffe auch aus der Ferne über kompromittierte Websites erfolgversprechend. Es genügt, dass der Anwender auf einen harmlos aussehenden Link in einer Phishing-Mail klickt. Wer LSC auf einem Lenovo-PC betreibt, sollte es deshalb unbedingt auffrischen. (ea)