Lenovo: Neue Sicherheitslücke durch Updater

Lenovo, einer der größten chinesischen PC-Hersteller und in Firmen recht beliebt, fällt immer wieder unangenehm auf, was die Sicherheit betrifft. Neuestes Problem: Durch einen System-Updater für Treiber und Systemsoftware werden Sicherheitslücken aufgerissen.


Anzeige

Lenovo hat wirklich keinen guten Lauf in den letzten Monaten. Im Februar fiel Lenovo durch vorinstallierte Adware auf (ich hatte im Artikel Lenovo Geräte mit Superfish-Adware verseucht darüber berichtet). Nun haben Sicherheitsforscher bei IOActive herausgefunden, dass ein vorinstalliertes Service-Tool zum Aktualisieren von Treibern und Systemkomponenten einige gravierende Sicherheitslücken aufreißt.

Betroffen ist die Version 5.6.0.27 und früher des Lenovo-Update-Services, die angreifbar ist. Diese Version ist auf allen ThinkPad-, ThinkCentre-, ThinkStation-Modelle und Modellen der Lenovo V/B/K/E Series vorhanden. Lenovo hat ein Update veröffentlicht, um die Sicherheitslücken zu schließen. Weitere Details finden sich bei IOActive, hier bei heise.de und hier.

Ähnliche Artikel
Neues SSL-Problem: Comodo liefert Adware Privdog aus
Superfish: Sammelklage gegen Lenovo
Lenovo Geräte mit Superfish-Adware verseucht
Lenovo ships Superfish adware preinstalled on systems
Komodia SSL-Zertifikate faktisch überall – Teil V
Lenovos Post-Superfish-Aera: ‘Weniger ist mehr’
Lenovo: Website von Lizard Squad gehackt


Anzeige
Dieser Beitrag wurde unter Notebook, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Lenovo: Neue Sicherheitslücke durch Updater

  1. Winfried Sonntag sagt:

    Hallo Günter,

    es ist schon seit Jahren ein ungeschriebenes Gesetz, dass man die OEM-Installationen von *allen* Herstellern nicht produktiv benutzt. Bei den Updatern brauchen die Benutzer Adminrechte, AFAIR, wer hat das heute noch?

    Die OEM-Installationen evtl. per Image-Sicherung sichern, anschließend die HDD mit einer sauberen Neuinstallation beglücken. Neueste Treiber installieren und fertig ist die Laube. Wenn es neue Treiber gibt, ein aktuelleres BIOS, dann kann man die Geräte mit verschiedenen Methoden aktualisieren. Aber auf keinen Fall sollten es die vorinstallierten Tools der Hersteller sein.

    Just my 2 Cents. ;)

    Winfried

    • Günter Born sagt:

      @Winfried: Zu deinem “ungeschriebenen Gesetz” lässt sich nur ausführen, dass dies nur für hardcore Insider gilt! Der “normale” Anwender hat doch heute keine realistische Chance mehr, ein OEM-System sauber und stabil aufzusetzen. Ohne aktuelle BIOS- und Chipsatztreiber mit definierter Installationsreihenfolge bekommst Du häufig genug kein stabiles System. Und wenn der OEM noch schweinige Tricks genutzt hat, um mit Zusatzsoftware diese und jene Funktion zu realisieren, kann ein Neuaufsetzen eigentlich nur noch von Firmenadmins mit Zugriff auf die KB des OEMs vorgenommen werden!

      Und zu: “Wer hat Adminrechte” – welche Gruppenmitgliedschaft hat das vom Feierabend-Admin angelegte Default Benutzerkonto von Windows? Und wenn’s ganz schief läuft, arbeitet der Feierabend-Admin noch mit dem freigeschalteten Konto “Administrator”. Also, deine Hinweise sind zwar korrekt, aber imho da draußen nicht “in the wild” abbildbar …

      • Winfried Sonntag sagt:

        Hallo Günter,

        dann gehöre ich wohl zu den hardcore Insidern. ;) Spaß beiseite, im Firmenumfeld benutzt man keine gelieferte OEM-Installation, nie und nimmer. Für den normalen Anwender ist es schwer, aber sicher nicht unmöglich. Wir haben hier für alle unsere Lenovo Geräte über die Lenovo Website eine W8.1 DVD angefordert, 2 Tage später war sie da. Ob das für Consumer Geräte auch funktioniert, weiß ich nicht.

        Und bezüglich Admin, ich meinte in diesem Fall auch das Firmenumfeld, da sollte natürlich kein Benutzer Adminrechte haben, und dann nützt das Updater Tool von Lenovo überhaupt nicht.

        Reihefolge der Installation: W8.x, anschließend die Chipsatztreiber, jetzt die WWAN-/LAN-/WLAN-Treiber. Wenn ich das wirklich will, bekomme ich auch Unterstützung vom Support, alternativ im Supportforum des Herstellers. ;)

        @Marc. Die richtigen Treiber bekomme ich auch bei einem vernünftigen Hersteller auf dessen Supportwebsites.

        Solche Schlauberger gibt es überall, die lernen es allerdings auch nicht mehr. ;)

        Winfried

    • Marc sagt:

      die vorinstallierten Images hab teilweise den Vorteil, dass wirklich die richtigen Treiber usw. installiert sind.

      Im Bekanntenkreis hab ich einige selbsternannte CTOs, die nach dem Erwerb alles selbst installieren und es oft dann nicht funktioniert, was aber logischerweise/ganz klar ,-) an der Hardware liegt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.