Ваш ноутбук Lenovo может иметь серьезную уязвимость

Дядя Влад
Ноутбук Lenovo на столе
Влад Багачян / Unsplash

Пользователи старых ноутбуков Lenovo должны остерегаться недостатков безопасности, которые могут повлиять на их ПК, особенно если на их ноутбуках по-прежнему работает программа Lenovo Solution Center.

Согласно журналу Laptop Magazine , исследователи в области безопасности Pen Test Partners обнаружили уязвимость в системе безопасности, которая может эффективно «передать привилегии администратора хакерам или вредоносным программам». А поскольку эта уязвимость затрагивает ноутбуки Lenovo, предварительно установленные с программой Lenovo Solution Center, миллионы из старых ноутбуков Lenovo может пострадать от недостатка. Это связано с тем, что на ноутбуках Lenovo была установлена ​​программа годами, с 2011 года до ноября 2018 года.

Pen Test Partners опубликовали свой собственный пост об уязвимости в четверг, 22 августа. В этом сообщении PTP описал уязвимость как «уязвимость, связанную с повышением привилегий», которая позволяет использовать ошибку перезаписи DACL (дискреционного списка контроля доступа) и «жесткую ссылку». »(Псевдо) файл, чтобы позволить« пользователю с низким уровнем привилегий получить полный контроль над файлом, который ему обычно не разрешается. Это, если вы умны, может быть использовано для выполнения произвольного кода в системе с правами администратора или системы ».

Во вторник, 20 августа, Lenovo выпустила собственное предупреждение безопасности об этой уязвимости. В этом заявлении Lenovo сообщила, что уязвимости затрагивают устройства под управлением Lenovo Solution Center версии 03.12.003, и рекомендуют пользователям Lenovo продолжить работу и удалить Lenovo Solution Center (который больше не поддерживается) и «перейдите на Lenovo Vantage или Lenovo Diagnostics». Предупреждение о безопасности Lenovo также содержало инструкции по удалению Lenovo Solution Center для устройств под управлением Windows 10, Windows 8 и Windows 7.

Также стоит отметить, что в своем сообщении Pen Test Partners также отметили несоответствие, связанное с фактической датой окончания срока действия программы Lenovo Solution Center:

«Хотя Lenovo реагировала на мое раскрытие информации, когда мы сообщили об этом в мае, на странице загрузки в LSC отмечалось, что срок службы инструмента истек в ноябре 2018 года… Но сразу после их раскрытия мы заметили, что он изменил цель -известная дата, чтобы она выглядела так, как будто она закончилась до того, как была выпущена последняя версия. В их собственных рекомендациях по уязвимостям говорится: «Lenovo прекратила поддержку Lenovo Solution Center и порекомендовала клиентам перейти на Lenovo Vantage или Lenovo Diagnostics в апреле 2018 года.»… Но последний выпуск LSC был 15 октября 2018 года… Возможно, это опечатка или Lenovo пыталась скрыть свои следы? Вводит в заблуждение и странно.

Регистр спросил Lenovo о несоответствии даты окончания срока службы, и производитель ноутбуков ответил следующим заявлением:

«Часто для приложений, которые достигают конца поддержки, мы продолжаем обновлять приложения по мере перехода к новым предложениям, чтобы гарантировать, что клиенты, которые еще не перешли или предпочитают не поддерживать, по-прежнему имеют минимальный уровень поддержки. не редкость в отрасли ».

Digital Trends обратились в Lenovo за комментариями, и мы обновим эту статью, как только получим ответ.