> > > > Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

Veröffentlicht am: von

lenovoRund zwei Monate nach dem Bekanntwerden der Superfish-Sicherheitslücke gerät Lenovo erneut in die Schlagzeilen. Denn den Experten von IOActive zufolge bieten zahlreiche Systeme der Chinesen eine weitere Angriffsfläche in Form des Lenovo System Update.

Über das Tool soll es möglich sein, beliebige Anwendungen auf dem System zu installieren und als Administrator auszuführen, was Schad-Software Tür und Tor öffnet. Möglich wird dies durch eine Lücke in der internen Überprüfung. Umgehen Angreifer diese, können sie beliebige Programme mit falschen Lenovo-Zertifikaten versehen und auf diesem Wege die systemeigenen Sicherheitsvorkehrungen umgehen. Auf die Lücke gestoßen ist IOActive bereits im Februar, Lenovo wurde nach eigenen Angaben umgehend darüber informiert. Dass man nun auch die breite Öffentlichkeit liegt, wird dem Bereitstellen eines Updates durch den Hersteller begründet. Entsprechend sollen Besitzer eines Lenovo-Rechners sicherstellen, dass sie das Lenovo System Update-Tool in einer Version jünger als 5.6.0.27 verwenden; diese und ältere Ausgaben sind gefährdet.

Eine Stellungnahme seitens Lenovo gibt es nicht, auch Details zu möglicherweise bereits erfolgten Angriffen fehlen. Im März hatte das Unternehmen angekündigt, mit dem Start von Windows 10 weitaus weniger Anwendungen neben den Betriebssystem installieren zu wollen, um Angriffsmöglichkeiten zu reduzieren. An eigenen Tools wie dem nun betroffenen Updater will man hingegen festhalten.

Update: Lenvo hat auf seiner Homepage eine Anleitung für das Beseitigen der Schwachstelle veröffentlicht. Demnach soll es ausreichen, das Lenovo System Udpate-Tool zu starten. Die integrierte Aktualisierungsroutine soll direkt im Anschluss auf eine neue, fehlerfreie Version hinweisen und deren Installation vorschlagen. Sollte dies nicht geschehen, ist die manuelle Auffrischung möglich. Hierfür muss die aktuelle Version (5.06.0034, knapp 12 MB) heruntergeladen und anschliessend ausgeführt werden.

Nach eigenen Angaben hat man eng mit IOActive zusammengearbeitet, um die Angriffspotentiale zu entfernen.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (7)

#1
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Kapitänleutnant
Beiträge: 1778
Und was sagt uns das malk wieder aufs Neue?

Keine Bloatsoftware auf dem Rechner laufen lassen, sondern entweder direkt ohne OS kaufen und selbst das OS installieren, oder nach dem Kauf das OS platt machen und selbst neu installieren, ohne Bloatware.

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
#2
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 479
Leider bekommt man die Geräte-Treiber anders nicht so einfach. Bei den meisten Herstellern werden damit gleich irgendwelche "utilities" installiert. (oder sogar vorausgesetzt)

Ich habe gerade mal bei meinem Laptop geschaut, das ist Version 4 drauf. Und "Der System Update Server ist vorübergehend nicht verfügbar"
:-[
#3
customavatars/avatar5798_1.gif
Registriert seit: 17.05.2003
Augsburg
Admiral
Beiträge: 11315
Bei Lenovo kriegt man jeden Treiber auch ohne die komische Update Software!
#4
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 479
Zugegeben, es ist schon länger her, dass ich das System installiert habe.
Wahrscheinlich wurde ein Teil gleich von Windows installiert. Auf der Lenovo-Seite ist die Auswahl nicht sehr groß:
Laptops and netbooks :: ThinkPad X Series laptops :: ThinkPad X220i - Lenovo Support (DE)

Was gibt es noch für Quellen?

edit @0711
Danke, hab's übersehen. Ich dachte, dass der Filter auf ALL gesetzt direkt alles zeigt.
#5
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6804
Zitat Morrich;23453936

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen

@tomb
auf der seite findest du alles, wenn du nicht die Auswahl oben nutzen willst drück unten auf "Show all"
#6
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Kapitänleutnant
Beiträge: 1778
Zitat 0711;23457621
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen


Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
#7
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6804
Zitat Morrich;23474201
Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
gerade bezüglich updatefunktion würde ich einfach mal behaupten, die leute brauchen das, nutzen es aber nicht bzw würden es nicht manuell machen (z.B. auch um das löchrige uefi zu fixen, schäbige treiberschweinereien auszumerzen usw usf)
Natürlich aber auch so triviale dinge wie die Unterstützung aller touchpad Funktionen möchten da bedacht sein....

Wenn der Hersteller kein updatesystem liefert, wird eh nicht geupdated
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Pokémon Go bringt die Smombies auf den Vormarsch

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Sicherlich lassen sich meine Erfahrungen von Sonntag nicht zwangsläufig auf ganz Deutschland übertragen, dennoch stelle ich folgende Behauptung auf: Am vergangenen Wochenende zog es vielerorts deutlich mehr Menschen auf die Straßen als noch in den Tagen zuvor. Schuld daran war nicht nur das... [mehr]

Unreal Engine 4: So realistisch geht virtueller Wald

Logo von IMAGES/STORIES/2017/UNREAL-ENGINE4

Die Entwickler von MAWI United, ein CG- und VR-Studio, welches hauptsächlich Animationen und Effekte für Filme, Serien, Trailer, Videospiele und Werbeclips erstellt, zeigt einige Beispiele, wie man mithilfe der Unreal Engine 4 einen spektakulären Wald erstellen kann. MAWI United bietet die... [mehr]

Valve arbeitet womöglich an neuer Benutzeroberfläche für Steam

Logo von IMAGES/STORIES/LOGOS-2013/STEAM

Valve scheint im Hintergrund an einer neuen Benutzeroberfläche für seine digitale Spielevertriebsplattform Steam zu arbeiten. Das lassen zumindest zwei Bilder vermuten, die im Code eines Beta-Updates entdeckt, inzwischen aber von Valve schon wieder entfernt wurden. Auf Github sind die beiden... [mehr]

Pokémon Go offiziell in Deutschland erhältlich – erstes Update für iOS

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO_LOGO

Bis vor wenigen Stunden war Pokémon Go nur über Umwege in Deutschland spielbar. Besitzer eines Android-Smartphones mussten sich über Umwege die APK-Datei beschaffen und diese durch Aushebelung der Drittanbieter-Sperre auf ihrem Gerät installieren. Etwas schwieriger war das unter iOS – hier... [mehr]

Google Chrome erreicht Meilenstein von zwei Milliarden aktiven Nutzern

Logo von IMAGES/STORIES/LOGOS-2013/CHROME-LOGO

Google bzw. dessen Vizepräsident für das Chrome-Produktmanagement, Rahul Roy-Chowdhury, hat einen neuen Meilenstein für den Browser Chrome vermeldet: Mittlerweile nutzen ca. zwei Milliarden Nutzer Chrome aktiv. Diese Zahl meint plattformübergreifend Chrome an sowohl Windows-PCs, Geräten mit... [mehr]

Dropbox sorgt für Ärger: Vermeintlich gelöschte Daten tauchen nach Jahren...

Logo von IMAGES/STORIES/LOGOS-2017/DROPBOX

An sich hört sich das nach einer feinen Sache an: Bei Cloud-Speicherdiensten wie Dropbox kann man seine Daten online speichern und so auch langfristig archivieren. Auf diese Weise lassen sich auch Daten sichern, die möglicherweise bei einer defekten Festplatte für immer verloren wären.... [mehr]