Lenovo schließt erneut Lücke in Service-Software
Auf PCs und Laptops vom Hersteller vorinstallierte Software ist manchmal nützlich, manchmal aber auch gefährlich: System-Update-Tools können zur Trojaner-Schleuse werden. Aktuell müssen sich Nutzer des Lenovo Solution Center um ein Update kümmern.
Schon im Frühjahr kamen Sicherheitslücken in der auf Lenovo-Rechnern vorinstallierten Adware Superfish [1] ans Licht. Im Mai wurde dann bekannt, dass Angreifer über eine auf ab Werk installierte Service-Software [2] den Rechner übernehmen konnten: Das Tool ThinkVantage System Update dient unter anderem zum leichteren Installieren von Treiber- und BIOS-Updates. Immerhin waren die seinerzeit gefundenen Lücken nur schwer auszunutzen, weil sich der Angreifer in die Verbindung zwischen dem PC und den Lenovo-Servern hätte hacken müssen.
Offenbar ist nun auch die Service-Software-Variante Lenovo Solution Center (LSC) betroffen: Eine neue LSC-Version soll mehrere Lücken ausbessern [3]. Wiederum konnten Angreifer laut Hersteller System-Rechte erlangen und so eigene Programme auf den anfälligen Maschinen mit Admin-Privilegien ausführen.
Kritisch daran ist, dass eine der Lücken diesmal auch über Cross-Site Request Forgery (CSRF) auszunutzen sei. Damit sind Angriffe auch aus der Ferne über kompromittierte Websites erfolgversprechend. Es genügt, dass der Anwender auf einen harmlos aussehenden Link in einer Phishing-Mail klickt. Wer LSC auf einem Lenovo-PC betreibt, sollte es deshalb unbedingt auffrischen. (ea [4])
URL dieses Artikels:
https://www.heise.de/-3042899
Links in diesem Artikel:
[1] https://www.heise.de/news/Gefahr-fuer-Lenovo-Laptops-durch-vorinstallierte-Adware-2554455.html
[2] https://www.heise.de/news/Update-Software-auf-Lenovo-Computern-oeffnet-Tuer-fuer-Angreifer-2635503.html
[3] https://support.lenovo.com/de/de/product_security/len_4326
[4] mailto:ea@ct.de
Copyright © 2015 Heise Medien