Murmeltiertag: Sicherheitslücke in Lenovo Solution Center

Ich habe zwischenzeitlich aufgegeben, zu zählen, wie häufig ich hier im Blog bereits über Sicherheitslücken, die durch Bloatware der OEMs auf Windows-Rechnern aufgerissen werden, berichtet habe. Nun ist Lenovo wieder dran, deren Lenovo Solution Center weist eine gravierende Sicherheitslücke auf.


Anzeige

Bloatware Lenovo Solution Center als Sicherheitsrisiko

Zum Hintergrund: Das Lenovo Solution Center ist eine von Lenovo entwickelte Softwareanwendung für Think Produkte, mit der Benutzer ihren Computer optimal nutzen können. Mit dieser Software sollen Benutzer bequem den Status von System, Netzwerkverbindungen und Systemsicherheit anzeigen können – so der Hersteller.

(Quelle: Lenovo)

Das Lenovo Solution Center ist auf ausgelieferten Lenovo-Rechnern im Beipack vorinstalliert. Konkret schreibt Lenovo: Vorinstalliert (und zum Download verfügbar) auf neuen Lenovo Systemen mit Windows 8 64 Bit und 32 Bit sowie Windows 7. Die Software wird aber für Windows 7 bis Windows 10 bereitgestellt – es könnten also auch Windows 10-Rechner von Lenovo mit der vorinstallierten Software in den Handel gelangen.

Leider ist dieses Systemtool als Sicherheitsloch par excellence verrufen. Die letzte Warnung stammte vom Mai diesen Jahres (Wieder Sicherheitslücke in Lenovo Solution Center), wo Lenovo die Version 3.3.002 des Solution Center freigegeben hat, die eine fette Sicherheitslücke beseitigen sollte.

Version 3.3.003 behebt neue Sicherheitslücken

In den Security Advisories CVE-2016-5248 und CVE-2016-5249 beschreibt Lenovo zwei gravierende Sicherheitslücken (Einstufung als High) im Lenovo Solution Center. Beide Lücken ermöglichen Angreifern über lokale Benutzerkonten eine Erhöhung der Privilegien  für LocalSystem.

Local privilege escalation vulnerabilities were identified in Lenovo Solution Center where unprivileged local users could terminate processes running at higher privilege levels (CVE-2016-5248) or execute arbitrary code (CVE-2016-5249) with LocalSystem account privileges.

Betroffen sind laut Lenovo alle Versionen des Lenovo Solution Center vor der Version 3.3.003. Lenovo bietet auf dieser Webseite den Download der Version 3.3.003 des Lenovo Solution Center. Bezeichnend ist dort aber, dass bei den Download-Links keine Versionsangaben zu finden sind.

Meine Empfehlung ist weiterhin: Deinstalliert das Zeugs über die Windows-Systemsteuerung über den Punkt Programm deinstallieren, damit bezüglich Sicherheitslücken Ruhe an dieser Front herrscht. (via, via)

Ähnliche Artikel:
Wieder Sicherheitslücke in Lenovo Solution Center
CA-Zertifikat für Bluetooth auf Lenovo-Rechnern
Lücke im Lenovo Solution Center geschlossen
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Sammelt Lenovo Daten auf ThinkPad, ThinkCentre, ThinkStation?
Optionales Windows-Update KB3107998 für Lenovo-PCs (USB Blocker Tool)
Lenovo Service Engine (LSE) – Superfish reloaded II
Windows 10: Lenovo Accelerator Application deinstallieren


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Murmeltiertag: Sicherheitslücke in Lenovo Solution Center

  1. Schrägar der Heckliche sagt:

    Das Lenovo Solution Center benötigt außerdem noch die Adobe AIR Laufzeitumgebung, welche ebenfalls als Sicherheitslücke in Verruf geraten ist. Nach dem Deinstallieren von LSC sollte man also Adobe AIR gleich als nächstes von der Platte schmeißen…

    Gruß, SdH

Schreibe einen Kommentar zu Schrägar der Heckliche Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.