> > > > Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

DruckenE-Mail
Erstellt am: von

lenovoRund zwei Monate nach dem Bekanntwerden der Superfish-Sicherheitslücke gerät Lenovo erneut in die Schlagzeilen. Denn den Experten von IOActive zufolge bieten zahlreiche Systeme der Chinesen eine weitere Angriffsfläche in Form des Lenovo System Update.

Über das Tool soll es möglich sein, beliebige Anwendungen auf dem System zu installieren und als Administrator auszuführen, was Schad-Software Tür und Tor öffnet. Möglich wird dies durch eine Lücke in der internen Überprüfung. Umgehen Angreifer diese, können sie beliebige Programme mit falschen Lenovo-Zertifikaten versehen und auf diesem Wege die systemeigenen Sicherheitsvorkehrungen umgehen. Auf die Lücke gestoßen ist IOActive bereits im Februar, Lenovo wurde nach eigenen Angaben umgehend darüber informiert. Dass man nun auch die breite Öffentlichkeit liegt, wird dem Bereitstellen eines Updates durch den Hersteller begründet. Entsprechend sollen Besitzer eines Lenovo-Rechners sicherstellen, dass sie das Lenovo System Update-Tool in einer Version jünger als 5.6.0.27 verwenden; diese und ältere Ausgaben sind gefährdet.

Eine Stellungnahme seitens Lenovo gibt es nicht, auch Details zu möglicherweise bereits erfolgten Angriffen fehlen. Im März hatte das Unternehmen angekündigt, mit dem Start von Windows 10 weitaus weniger Anwendungen neben den Betriebssystem installieren zu wollen, um Angriffsmöglichkeiten zu reduzieren. An eigenen Tools wie dem nun betroffenen Updater will man hingegen festhalten.

Update: Lenvo hat auf seiner Homepage eine Anleitung für das Beseitigen der Schwachstelle veröffentlicht. Demnach soll es ausreichen, das Lenovo System Udpate-Tool zu starten. Die integrierte Aktualisierungsroutine soll direkt im Anschluss auf eine neue, fehlerfreie Version hinweisen und deren Installation vorschlagen. Sollte dies nicht geschehen, ist die manuelle Auffrischung möglich. Hierfür muss die aktuelle Version (5.06.0034, knapp 12 MB) heruntergeladen und anschliessend ausgeführt werden.

Nach eigenen Angaben hat man eng mit IOActive zusammengearbeitet, um die Angriffspotentiale zu entfernen.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (7)

#1
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Oberleutnant zur See
Beiträge: 1438
Und was sagt uns das malk wieder aufs Neue?

Keine Bloatsoftware auf dem Rechner laufen lassen, sondern entweder direkt ohne OS kaufen und selbst das OS installieren, oder nach dem Kauf das OS platt machen und selbst neu installieren, ohne Bloatware.

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
#2
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 478
Leider bekommt man die Geräte-Treiber anders nicht so einfach. Bei den meisten Herstellern werden damit gleich irgendwelche "utilities" installiert. (oder sogar vorausgesetzt)

Ich habe gerade mal bei meinem Laptop geschaut, das ist Version 4 drauf. Und "Der System Update Server ist vorübergehend nicht verfügbar"
:-[
#3
customavatars/avatar5798_1.gif
Registriert seit: 17.05.2003
Augsburg
Admiral
Beiträge: 11138
Bei Lenovo kriegt man jeden Treiber auch ohne die komische Update Software!
#4
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 478
Zugegeben, es ist schon länger her, dass ich das System installiert habe.
Wahrscheinlich wurde ein Teil gleich von Windows installiert. Auf der Lenovo-Seite ist die Auswahl nicht sehr groß:
Laptops and netbooks :: ThinkPad X Series laptops :: ThinkPad X220i - Lenovo Support (DE)

Was gibt es noch für Quellen?

edit @0711
Danke, hab's übersehen. Ich dachte, dass der Filter auf ALL gesetzt direkt alles zeigt.
#5
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6756
Zitat Morrich;23453936

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen

@tomb
auf der seite findest du alles, wenn du nicht die Auswahl oben nutzen willst drück unten auf "Show all"
#6
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Oberleutnant zur See
Beiträge: 1438
Zitat 0711;23457621
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen


Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
#7
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6756
Zitat Morrich;23474201
Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
gerade bezüglich updatefunktion würde ich einfach mal behaupten, die leute brauchen das, nutzen es aber nicht bzw würden es nicht manuell machen (z.B. auch um das löchrige uefi zu fixen, schäbige treiberschweinereien auszumerzen usw usf)
Natürlich aber auch so triviale dinge wie die Unterstützung aller touchpad Funktionen möchten da bedacht sein....

Wenn der Hersteller kein updatesystem liefert, wird eh nicht geupdated
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Pokémon Go bringt die Smombies auf den Vormarsch

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Sicherlich lassen sich meine Erfahrungen von Sonntag nicht zwangsläufig auf ganz Deutschland übertragen, dennoch stelle ich folgende Behauptung auf: Am vergangenen Wochenende zog es vielerorts deutlich mehr Menschen auf die Straßen als noch in den Tagen zuvor. Schuld daran war nicht nur das... [mehr]

Microsoft Cortana wehrt sich gegen "sexuelle Belästigung"

Logo von IMAGES/STORIES/LOGOS-2015/MICROSOFT_CORTANA_BUTTON

Menschen sind neugierig, wenn künstliche Intelligenz ins Spiel kommt. Man probiert aus, stellt absurde Fragen, prüft, ob die K. I. Humor hat oder lotet die Grenzen aus, bis sie bei Ironie und Sarkasmus nicht mehr weiter weiß. Auch ist bekannt, dass Apples Sprachassistentin Siri etwa durchaus... [mehr]

WhatsApp wird dauerhaft kostenlos

Logo von IMAGES/STORIES/LOGOS-2013/WHATSAPP

Kaum eine Anwendung dürfte Mobilfunkanbieter derart viel Geld gekostet haben wie WhatsApp. Denn seit dem Start im Jahr 2009 steigt die Zahl der über den Dienst verschickten Nachrichten kontinuierlich, vor allem auf Kosten der ehemals so lukrativen SMS. Für die Gründer hat sich das längst... [mehr]

Harvester Messenger vereint fast alle Messenger in einer App

Logo von IMAGES/STORIES/LOGOS-2016/HARVESTER_LOGO

Früher hatte sicher jeder einige Multimessenger in Benutzung, die namensgebend viele verschiedene Messenger-Protokolle in einem Programm vereinten. So konnten Nutzer gleichzeitig via icq, AIM oder XMPP (Jabber) kommunizieren. Die aktuelle Messengerlandschaft hat sich zwar stark gewandelt, doch im... [mehr]

Pokémon Go offiziell in Deutschland erhältlich – erstes Update für iOS

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Bis vor wenigen Stunden war Pokémon Go nur über Umwege in Deutschland spielbar. Besitzer eines Android-Smartphones mussten sich über Umwege die APK-Datei beschaffen und diese durch Aushebelung der Drittanbieter-Sperre auf ihrem Gerät installieren. Etwas schwieriger war das unter iOS – hier... [mehr]

Windows-Fans rufen Project App-Gap ins Leben

Logo von IMAGES/STORIES/LOGOS-2016/PROJEKT_APPGAP

Windows Phone bzw. Windows 10 Mobile fehlen vor allem eins: Apps. Um dies zu ändern haben sich die beiden Microsoft-Fans Nils Tuschik sowie Manuel Blaschke eine Idee einfallen lassen. So haben die beiden das Project AppGap ins Leben gerufen, bei dem Nutzer vorgefertigte Textbausteine an... [mehr]