Biztonsági hibákat javított a Lenovo

A Lenovo számítógépeihez fontos biztonsági frissítések váltak elérhetővé, amelyeket mihamarabb célszerű feltelepíteni.
 

Ugyan nem kapott nagy hírverést, de a Lenovo az elmúlt időszakban több, meglehetősen kockázatos biztonsági hibát is orvosolt. Ezek a sebezhetőségek elsősorban a Lenovo System Update alkalmazást érintik, vagyis a rendszerfrissítésre szolgáló összetevőt sújtják. A sérülékenységeket az IOActive biztonsági kutatói fedezték fel, és jelezték azokat a gyártónak, amely az immár elérhetővé vált frissítésekkel szüntette meg a kockázatokat.

Összesen három komolyabb rendellenességről beszélhetünk, amelyek jogosulatlan kódfuttatásra és műveletvégrehajtásra is módot adhatnak a támadóknak. Az első sebezhetőséget az okozza, hogy a System Update szolgáltatás nem kellően biztonságos módon hozza létre azokat a tokeneket, amelyeket a saját parancsaihoz rendel hozzá. Mivel ezek a tokenek előre megjósolható módon jönnek létre, ezért a támadó a saját parancsait is felruházhatja ezekkel, majd System jogosultsági szinten tudja végrehajtani a nemkívánatos műveleteit. Vagyis jogosultsági szint emelésre nyílhat lehetőség.

A második sérülékenység a tanúsítványok esetenkénti nem megfelelő kezelésére vezethető vissza. Mivel a tanúsítványláncok validálása nem tökéletes, ezért a támadó egy hamis tanúsítvány létrehozásával, illetve a kártékony kódjainak aláírásával elérheti, hogy a frissítési folyamat során ne a Lenovo hivatalos alkalmazásai töltődjenek le, hanem az ártalmas kódok. Mindez közbeékelődéses (MitM) támadások során válhat lehetővé az elkövető számára.

A harmadik biztonsági rés pedig a már letöltött frissítések kezelésével hozható összefüggésbe. Ugyanis amikor a System Update letölt egy frissítést, akkor azt egy mindenki számára írható mappába menti le. Miután a System Update ellenőrizte a letöltött fájl hitelességét, a támadó lecserélheti azt a saját kártékony programjára, amit a frissítési szolgáltatás szó nélkül lefuttat abban a hitben, hogy az állomány már ellenőrzött és a Lenovotól származik.

Az érintett termékcsaládok:
- ThinkPad
- ThinkCentre
- ThinkStation
- Lenovo V/B/K/E széria

A fenti sebezhetőségek miatt mielőbb célszerű frissíteni a Lenovo számítógépeket.