lenovo-logo

Im «Lenovo System Update» wurden mehrere Sicherheitslöcher gefunden, über die sich ein Angreifer Administratorrechte auf dem System verschaffen kann. Die Software dient eigentlich dazu, PCs und Notebooks des chinesischen Herstellers aktuell zu halten und um beispielsweise Treiber oder das BIOS zu patchen.

Gefunden wurden die Lücken vom Sicherheitsforscher Sofiane Talmat, der für das Security-Beratungsunternehmen IOActive tätig ist. Lenovo hat bereits ein Update auf Version 5.0.6.0043 bereitgestellt. Betroffen sind nach Angaben des Herstellers alle ThinkPad-, ThinkCentre- und ThinkStation-Modelle sowie die Geräte der V/B/K/E-Serien.

Laut Talmat ist es mit älteren Versionen von «Lenovo System Update» möglich, dass sich ein Angreifer oder auch Malware Admin-Rechte auf einem System verschafft, auf der die Lenovo-Software läuft. Um den Rechner zu aktualisieren, benötigt «Lenovo System Update» selbst Admin-Rechte. Diese vererbt die Software aber nach Angaben von Talmat an den Internet Explorer, den dieser zum Aufruf von Hilfeseiten startet.

Lenovo-Kunden sollten die Update-Software von Lenovo umgehend aktualisieren, weil die Details nun frei im Internet verfügbar sind und Malware-Autoren sie möglicherweise in ihre Kreationen aufnehmen. Sofern Auto-Update nicht deaktiviert wurde, wird sich die Software laut Lenovo selbst aktualisieren.