Vecāku Lenovo klēpjdatoru īpašniekiem pēc iespējas ātrāk jāatinstalē Lenovo risinājumu centrs.
Pildspalvu pārbaudes partneru drošības pētnieki Lenovo risinājumu centrā atklāja kritisku ievainojamību, kas varētu piešķirt administratora privilēģijas hakeriem vai ļaunprātīgai programmatūrai.
Saskaņā ar pildspalvu testa partneru teikto, šī kļūda ir diskrecionāra piekļuves kontroles saraksta (DACL) pārrakstīšana, kas nozīmē, ka lietotājs ar zemām privilēģijām var ielīst sensitīvā failā, izmantojot augstu priviliģētu procesu. Šis ir “priviliģētas eskalācijas” uzbrukuma piemērs, kurā kļūdu var izmantot, lai piekļūtu resursiem, kas parasti ir pieejami tikai administratoriem.
Šādā gadījumā uzbrucējs varētu uzrakstīt pseidofailu (sauktu par cietās saites failu), kuru, ja to darbina Lenovo risinājumu centrs, piekļūtu sensitīviem failiem, kurus citādi nevajadzētu ļaut sasniegt. Turpmāk sistēmā ar administratora vai sistēmas privilēģijām var tikt izpildīts bojājošs kods, kas būtībā ir spēle, kā atzīmē Pen Test Partners.
Lenovo Solution Center ir programma, kas bija iepriekš instalēta Lenovo klēpjdatoros no 2011. gada līdz 2022-2023.-2022. Gada novembrim, kas nozīmē, ka tas var ietekmēt miljoniem ierīču. Ironiski, bet programmas mērķis ir uzraudzīt Lenovo datora veselību un drošību. Lai gan šis trūkums nerada lielas bažas atsevišķiem lietotājiem, kuri var ātri aizsargāt savas sistēmas, lielāki uzņēmumi, kuriem pieder vecāku ThinkPad klēpjdatoru parks un kuri izmanto mantoto programmatūru, var lēnām pielāgoties.
Savukārt Lenovo publicēja drošības paziņojumu, brīdinot lietotājus par kļūdu un mudinot atinstalēt risinājumu centru, ko uzņēmums vairs neatbalsta.
"Par ievainojamību, kas tika ziņota Lenovo Solution Center versijā 03.12.003 un kas vairs netiek atbalstīta, var ļaut žurnālfailus ierakstīt nestandarta vietās, kas var izraisīt privilēģiju palielināšanos. Lenovo pārtrauca Lenovo Solution Center atbalstu un ieteica klientiem migrēt uz Lenovo Vantage vai Lenovo Diagnostics 2022-2023.-2022. gada aprīlī, "teikts paziņojumā.
Lenovo nenorādīja, kad pārtrauca piegādāt klēpjdatorus ar iepriekš instalētu risinājumu centru, tāpēc iespējams, ka daudziem Lenovo klēpjdatoriem, kas ir jaunāki par vienu gadu, ir neatbalstīta programmatūra ar būtiskiem trūkumiem.
Arī Lenovo ir apsūdzēts, ka tas slēpj pēdas. Saskaņā ar Pen Test Partners teikto, pēc tam, kad viņi bija informējuši Lenovo par ievainojamību, datoru ražotājs, iespējams, par vairākiem mēnešiem atcēla risinājumu centra darbības beigu datumu, lai šķiet, ka šī funkcija tika pārtraukta pirms pēdējās versijas izlaišanas 2022-2023.-2022. .
"Bieži vien lietojumprogrammām, kas beidzas ar atbalstu, mēs turpinām atjaunināt lietojumprogrammas, pārejot uz jauniem piedāvājumiem, lai nodrošinātu, ka klientiem, kuri nav veikuši pāreju vai izvēlas to nedarīt, joprojām ir minimāls atbalsta līmenis. šajā nozarē nav nekas neparasts, "jautāts par neatbilstību, Lenovo sacīja The Register.
Neatkarīgi no tā, vai Lenovo ir viltīgs vai nē, vissvarīgākais ir šāds: ja jums pieder Lenovo klēpjdators, kas ražots laikā no 2011. līdz 2022-2023.-2022. Gadam, pēc iespējas ātrāk atbrīvojieties no Lenovo Solution Center. To var izdarīt, ievērojot šo vienkāršo rokasgrāmatu par programmu atinstalēšanu operētājsistēmā Windows 10.
Klēpjdatoru žurnāls ir vērsies pie Lenovo, lai saņemtu komentārus, un mēs atjaunināsim šo stāstu, kad saņemsim atbildi.
- Kā VPN var uzlabot jūsu drošību un privātumu | Toma ceļvedis