Vanemate Lenovo sülearvutite omanikud peavad Lenovo lahenduste keskuse võimalikult kiiresti desinstallima.
Pen Test Partnersi turvateadlased leidsid Lenovo lahenduste keskusest kriitilise haavatavuse, mis võib häkkeritele või pahavarale üle anda administraatoriõigused.
Pen Test Partnersi sõnul on viga diskreetsete juurdepääsu kontrollnimekirjade (DACL) ülekirjutamine, mis tähendab, et madala privileegiga kasutaja võib hiilgavat protsessi kasutades hiilida tundlikku faili. See on näide "privilegeeritud eskaleerimisrünnakust", mille käigus saab vea abil pääseda juurde ressurssidele, mis on tavaliselt kättesaadavad ainult administraatoritele.
Sel juhul võib ründaja kirjutada pseudofaili (nn kõvalingif.webpaili), millele Lenovo lahenduste keskuse käitamisel pääseks juurde tundlikele failidele, millele muidu ei tohiks lubada. Sealt edasi võis süsteemis administraatori või süsteemi privileegidega käivitada kahjustava koodi, mis on põhimõtteliselt mäng läbi, nagu märgib Pen Test Partners.
Lenovo Solution Center on programm, mis oli Lenovo sülearvutitele eelinstallitud 2011. aastast kuni novembrini 2022-2023–2022, mis tähendab, et see võib mõjutada miljoneid seadmeid. Irooniline, et programmi eesmärk on jälgida Lenovo arvuti tervist ja turvalisust. Kuigi see viga ei ole üksikute kasutajate jaoks nii suur mure, kes suudavad oma süsteeme kiiresti kaitsta, võivad suuremad ettevõtted, kes omavad vanemate ThinkPad sülearvutite parki ja kasutavad pärandtarkvara, kohaneda aeglaselt.
Lenovo avaldas omalt poolt turvaavalduse, mis hoiatas kasutajaid vea eest ja palus neil desinstallida lahenduste keskuse, mida ettevõte enam ei toeta.
"Lenovo lahenduste keskuse versioonis 03.12.003 teatatud haavatavus, mida enam ei toetata, võib lubada logif.webpailide kirjutamist mittestandardsetesse kohtadesse, mis võib viia privileegide eskaleerumiseni. Lenovo lõpetas Lenovo lahenduste keskuse toe ja soovitas klientidel üle minna aprillil 2022-2023–2022 Lenovo Vantage'ile või Lenovo Diagnosticsile, "seisab avalduses.
Lenovo ei täpsustanud, millal lõpetas eelinstallitud lahenduste keskusega sülearvutite tarnimise, seega on võimalik, et paljudel alla ühe aasta vanustel Lenovo sülearvutitel on oluliste vigadega toetamata tarkvara.
Lenovot on süüdistatud ka jälgede katmises. Pen Test Partnersi sõnul lükkas arvutitootja pärast Lenovo teavitamist haavatavusest väidetavalt mitu kuud Lahenduskeskuse kasutusaja lõppkuupäeva tagasi, et tunduda, et see funktsioon lõpetati enne viimase versiooni avaldamist novembris 2022-2023–2022 .
"Toetuse lõppemisel olevate rakenduste puhul on sageli nii, et jätkame rakenduste värskendamist, kui läheme üle uutele pakkumistele, et tagada klientidele, kes pole üleminekut teinud või otsustavad seda mitte teha, endiselt minimaalne toe tase. pole selles valdkonnas haruldane, "ütles Lenovo The Registerile, kui küsiti lahknevuse kohta.
Olenemata sellest, kas Lenovo on kaval või mitte, on lõpptulemus järgmine: kui teil on ajavahemikus 2011–2021–2022 toodetud Lenovo sülearvuti, siis vabanege Lenovo Solution Centerist võimalikult kiiresti. Seda saate teha, järgides seda lihtsat juhendit programmide desinstallimiseks Windows 10 -s.
Sülearvutite ajakiri pöördus kommentaaride saamiseks Lenovo poole ja me värskendame seda lugu, kui saame vastuse.
- Kuidas VPN võib teie turvalisust ja privaatsust parandada | Tomi juhend