Frissíteni kell a Lenovo számítógépeket

A Lenovo veszélyes sebezhetőségekről számolt be, amik miatt a gyártó számítógépeit minél hamarabb célszerű frissíteni.
 

A Lenovo egy biztonsági közleményt adott ki, amelyben arról számolt be, hogy a Lenovo Solution Center (LSC) szoftvere "magas" veszélyességi kategóriába tartozó sérülékenységeket tartalmaz. Ezek kihasználásával a támadók tetszőleges kódokkal élhetnek vissza az érintett rendszereken, és ilyen módon nemkívánatos műveleteket hajthatnak végre.
 
Az LSC alkalmazás célja egyebek mellett, hogy a felhasználóknak segítséget nyújtson a problémák diagnosztizálásában, illetve a számítógép állapotának feltérképezésében. A szoftver sok esetben előre telepítetten kerül a gyártó asztali és hordozható számítógépeire, valamint egyes táblagépeire, így a mostani sebezhetőségek széles körű károkozásokhoz vezethetnek, és rengeteg felhasználót érintenek.
 
Hol a hiba?
 
Az LSC alapvetően két komponensből épül fel: egy felhasználói felületből és egy háttérszolgáltatásból. A probléma ez utóbbi kapcsán merült fel, ugyanis az LSCTaskService nevű szolgáltatás a sérülékenységek révén rávehető kódfuttatásra, méghozzá SYSTEM jogosultsági szinten. Ráadásul egy CSRF (Cross-Site Request Forgery) hiba miatt a biztonsági rendellenesség akár weboldalak vagy speciálisan szeresztett URL-ek révén is kihasználhatóvá válhat, így akár webböngészés közben is adódhatnak kellemetlen meglepetések. A Lenovo szerint a hibák akkor is veszélyt jelent, ha a felhasználói felületet biztosító (frontend) összetevő nem fut.  
A sebezhetőségek könnyedén orvosolhatók az LSC frissítésével. Az alkalmazás 3.3.002-es verziója már nem tartalmazza a biztonsági réseket.