> > > > Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

Lücke in Lenovo-Software erlaubt Angreifern Ausführung beliebiger Software (Update)

Veröffentlicht am: von

lenovoRund zwei Monate nach dem Bekanntwerden der Superfish-Sicherheitslücke gerät Lenovo erneut in die Schlagzeilen. Denn den Experten von IOActive zufolge bieten zahlreiche Systeme der Chinesen eine weitere Angriffsfläche in Form des Lenovo System Update.

Über das Tool soll es möglich sein, beliebige Anwendungen auf dem System zu installieren und als Administrator auszuführen, was Schad-Software Tür und Tor öffnet. Möglich wird dies durch eine Lücke in der internen Überprüfung. Umgehen Angreifer diese, können sie beliebige Programme mit falschen Lenovo-Zertifikaten versehen und auf diesem Wege die systemeigenen Sicherheitsvorkehrungen umgehen. Auf die Lücke gestoßen ist IOActive bereits im Februar, Lenovo wurde nach eigenen Angaben umgehend darüber informiert. Dass man nun auch die breite Öffentlichkeit liegt, wird dem Bereitstellen eines Updates durch den Hersteller begründet. Entsprechend sollen Besitzer eines Lenovo-Rechners sicherstellen, dass sie das Lenovo System Update-Tool in einer Version jünger als 5.6.0.27 verwenden; diese und ältere Ausgaben sind gefährdet.

Eine Stellungnahme seitens Lenovo gibt es nicht, auch Details zu möglicherweise bereits erfolgten Angriffen fehlen. Im März hatte das Unternehmen angekündigt, mit dem Start von Windows 10 weitaus weniger Anwendungen neben den Betriebssystem installieren zu wollen, um Angriffsmöglichkeiten zu reduzieren. An eigenen Tools wie dem nun betroffenen Updater will man hingegen festhalten.

Update: Lenvo hat auf seiner Homepage eine Anleitung für das Beseitigen der Schwachstelle veröffentlicht. Demnach soll es ausreichen, das Lenovo System Udpate-Tool zu starten. Die integrierte Aktualisierungsroutine soll direkt im Anschluss auf eine neue, fehlerfreie Version hinweisen und deren Installation vorschlagen. Sollte dies nicht geschehen, ist die manuelle Auffrischung möglich. Hierfür muss die aktuelle Version (5.06.0034, knapp 12 MB) heruntergeladen und anschliessend ausgeführt werden.

Nach eigenen Angaben hat man eng mit IOActive zusammengearbeitet, um die Angriffspotentiale zu entfernen.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (7)

#1
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Korvettenkapitän
Beiträge: 2490
Und was sagt uns das malk wieder aufs Neue?

Keine Bloatsoftware auf dem Rechner laufen lassen, sondern entweder direkt ohne OS kaufen und selbst das OS installieren, oder nach dem Kauf das OS platt machen und selbst neu installieren, ohne Bloatware.

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
#2
customavatars/avatar28175_1.gif
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 484
Leider bekommt man die Geräte-Treiber anders nicht so einfach. Bei den meisten Herstellern werden damit gleich irgendwelche "utilities" installiert. (oder sogar vorausgesetzt)

Ich habe gerade mal bei meinem Laptop geschaut, das ist Version 4 drauf. Und "Der System Update Server ist vorübergehend nicht verfügbar"
:-[
#3
customavatars/avatar5798_1.gif
Registriert seit: 17.05.2003
Augsburg
Admiral
Beiträge: 11837
Bei Lenovo kriegt man jeden Treiber auch ohne die komische Update Software!
#4
customavatars/avatar28175_1.gif
Registriert seit: 07.10.2005
Berlin
Oberstabsgefreiter
Beiträge: 484
Zugegeben, es ist schon länger her, dass ich das System installiert habe.
Wahrscheinlich wurde ein Teil gleich von Windows installiert. Auf der Lenovo-Seite ist die Auswahl nicht sehr groß:
Laptops and netbooks :: ThinkPad X Series laptops :: ThinkPad X220i - Lenovo Support (DE)

Was gibt es noch für Quellen?

edit @0711
Danke, hab's übersehen. Ich dachte, dass der Filter auf ALL gesetzt direkt alles zeigt.
#5
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6807
Zitat Morrich;23453936

Braucht eh kein Schwein, diesen ganzen Softwarekram der Hersteller oder Drittanbieter.
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen

@tomb
auf der seite findest du alles, wenn du nicht die Auswahl oben nutzen willst drück unten auf "Show all"
#6
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Korvettenkapitän
Beiträge: 2490
Zitat 0711;23457621
das meiste bei den thinkpads hat durchaus einen nutzen, wie auch jenes tool was hier betroffen ist um alles aktuell zu halten und nicht manuell prüfen zu müssen


Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
#7
Registriert seit: 19.01.2007

Vizeadmiral
Beiträge: 6807
Zitat Morrich;23474201
Einen Nutzen haben die Tools alle, aber die meisten Nutzer brauchen sie schlicht und ergreifend nicht.
gerade bezüglich updatefunktion würde ich einfach mal behaupten, die leute brauchen das, nutzen es aber nicht bzw würden es nicht manuell machen (z.B. auch um das löchrige uefi zu fixen, schäbige treiberschweinereien auszumerzen usw usf)
Natürlich aber auch so triviale dinge wie die Unterstützung aller touchpad Funktionen möchten da bedacht sein....

Wenn der Hersteller kein updatesystem liefert, wird eh nicht geupdated
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Netflix: Neues Ultra-Abo für 19,99 Euro im Monat (Update)

    Logo von IMAGES/STORIES/2017/NETFLIX_100

    Kunden des Videostreaming-Dienstes Netflix können künftig wohl aus vier verschiedenen Abo-Modellen auswählen. Bislang standen mit „Basis“, „Standard“ und „Premium“ lediglich drei verschiedene Pakete zur Auswahl. Das neue „Ultra“-Paket wird vermutlich 19,99 Euro im Monat kosten... [mehr]

  • Stabilitätstest: CPU-ID PowerMax lastet CPU und GPU vollständig aus

    Logo von IMAGES/STORIES/2017/CPUID

    Die Macher von CPU-Z, einer Software zur Anzeige aller wichtigen Informationen des Prozessors, haben ein Tool vorgestellt, welches dem Testen der Stabilität dienen soll. PowerMax wird für Windows in einer 32- und 64-Bit-Version angeboten und soll GPU und CPU gleichzeitig vollständig auslasten... [mehr]

  • Fragmentierung: Steam verliert zunehmend große Blockbuster-Titel

    Logo von IMAGES/STORIES/2017/STEAM

    Lange Zeit war Steam die digitale Vertriebsplattform für PC-Spiele schlechthin, in der man als Kunde einen Großteil seiner gekauften Spieletitel zentral in einer einzigen Bibliothek aufbewahren und zu jeder Zeit erneut herunterladen konnte. Doch die Plattform kränkelt und scheint ihre einstige... [mehr]

  • Unity 2018 skaliert von Low-End bis fotorealistisch

    Logo von IMAGES/STORIES/2017/UNITY

    Unity hat in der aktuellen Version der gleichnamigen Programmierplattform, der 2018.1 Public Beta, zahlreiche neue Funktionen eingeführt, welche in Unity programmierte Projekte auf der einen Seite leicht skalierbar und damit auch auf schwächeren Systemen und Plattformen lauffähig machen,... [mehr]

  • Office 2019: Windows 10 wird vorausgesetzt

    Logo von IMAGES/STORIES/2017/MICROSOFT_2

    Microsoft hält sich mit Informationen rund um Office 2019 weiterhin sehr zurück. Jedoch gab der Softwareriese nun bekannt, dass für die Nutzung des kommenden Office-Pakets zwingend das hauseigene Betriebssystem Windows 10 vorausgesetzt wird. Somit werden Nutzer von Windows 8.1 und älter... [mehr]

  • Client-Update: Steam überarbeitet den Chat

    Logo von IMAGES/STORIES/2017/STEAM

    Nach der großen VAC-Bannwelle in der vergangenen Woche hat Valve ein neues Client-Update für Steam veröffentlicht, das umfangreiche Änderungen am Chat-System der Plattform vornimmt. Im Rahmen eines Open-Beta-Programms hatte Valve die neuen Funktionen seit dem 12. Juni ausführlich getestet, ab... [mehr]