Biztonsági hibákat javított a Lenovo
A Lenovo számítógépeihez fontos biztonsági frissítések váltak elérhetővé, amelyeket mihamarabb célszerű feltelepíteni.
Ugyan nem kapott nagy hírverést, de a Lenovo az elmúlt időszakban több, meglehetősen kockázatos biztonsági hibát is orvosolt. Ezek a sebezhetőségek elsősorban a Lenovo System Update alkalmazást érintik, vagyis a rendszerfrissítésre szolgáló összetevőt sújtják. A sérülékenységeket az IOActive biztonsági kutatói fedezték fel, és jelezték azokat a gyártónak, amely az immár elérhetővé vált frissítésekkel szüntette meg a kockázatokat.
Összesen három komolyabb rendellenességről beszélhetünk, amelyek jogosulatlan kódfuttatásra és műveletvégrehajtásra is módot adhatnak a támadóknak. Az első sebezhetőséget az okozza, hogy a System Update szolgáltatás nem kellően biztonságos módon hozza létre azokat a tokeneket, amelyeket a saját parancsaihoz rendel hozzá. Mivel ezek a tokenek előre megjósolható módon jönnek létre, ezért a támadó a saját parancsait is felruházhatja ezekkel, majd System jogosultsági szinten tudja végrehajtani a nemkívánatos műveleteit. Vagyis jogosultsági szint emelésre nyílhat lehetőség.
A második sérülékenység a tanúsítványok esetenkénti nem megfelelő kezelésére vezethető vissza. Mivel a tanúsítványláncok validálása nem tökéletes, ezért a támadó egy hamis tanúsítvány létrehozásával, illetve a kártékony kódjainak aláírásával elérheti, hogy a frissítési folyamat során ne a Lenovo hivatalos alkalmazásai töltődjenek le, hanem az ártalmas kódok. Mindez közbeékelődéses (MitM) támadások során válhat lehetővé az elkövető számára.
A harmadik biztonsági rés pedig a már letöltött frissítések kezelésével hozható összefüggésbe. Ugyanis amikor a System Update letölt egy frissítést, akkor azt egy mindenki számára írható mappába menti le. Miután a System Update ellenőrizte a letöltött fájl hitelességét, a támadó lecserélheti azt a saját kártékony programjára, amit a frissítési szolgáltatás szó nélkül lefuttat abban a hitben, hogy az állomány már ellenőrzött és a Lenovotól származik.
Az érintett termékcsaládok:
- ThinkPad
- ThinkCentre
- ThinkStation
- Lenovo V/B/K/E széria
A fenti sebezhetőségek miatt mielőbb célszerű frissíteni a Lenovo számítógépeket.
-
Az Apple 57 biztonsági rést foltozott be a macOS operációs rendszeren.
-
Az Apple iOS és az iPadOS fontos biztonsági frissítést kapott.
-
18 biztonsági hibajavítást tartalmazó frissítés érkezett az Apple watchOS-hez.
-
Az Adobe InDesign három sebezhetőség miatt kapott frissítést.
-
Nagyon jelentős biztonsági frissítés érkezett az Adobe After Effects szoftverhez.
-
Az Adobe Audition alkalmazás kapcsán fél tucat biztonsági hiba megszüntetésére nyílt lehetőség.
-
A Microsoft letölthetővé tette a februári hibajavításokat a Windows-hoz.
-
Megérkeztek az Office februári biztonsági frissítései.
-
A SAP elérhetővé tette a februári biztonsági frissítéseit.
-
A Power BI Report Server egy fontos besorolású frissítést kapott.
Az idei téli olimpia közeledtével nemcsak a sportolók, hanem a kiberbűnözők is csúcsformába lendülnek – figyelmeztetnek az ESET kiberbiztonsági szakértői.
A 2004-ben alakult Hétpecsét Információbiztonsági Egyesület céljai között szerepel az információvédelem kultúrájának és ismereteinek magyarországi terjesztése. Ezzel a célunkkal összhangban 2025-ben ismét meghirdetjük a „Az év információbiztonsági tartalom előállítója - 2026” pályázatot.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat