Po nedávném bezpečnostním problému se softwarem Superfish mělo Lenovo další problém. Její systém aktualizací (updatů) totiž využíval nedostatečného zabezpečení předpověditelnými tokeny a mohl být hackery snadno napaden.
V únoru letošního roku měla společnost Lenovo
kvůli nainstalovanému software Superfish. Po čtvrt roce má další problém s bezpečností. Jde o systém updatů, tedy aktualizací softwaru. Aplikace System Update Service vyžaduje autentizaci pomocí bezpečnostního tokenu, bohužel tento token lze snadno vygenerovat kýmkoli. I uživatel s minimem práv tak ve výsledku může mít stejná práva jako aktualizační aplikace a dostat tedy práva uživatele SYSTEM. Jinak řečeno, kompletní přístup.
Spolu s problémem nedostatečné validace certifikačních autorit lze nahradit aplikace Lenova škodlivými aplikacemi útočníka a bez větších potíží je spustit na počítači oběti. Tyto chyby byly opraveny v průběhu dubna a pokud jste tak zatím neučinili, měli byste si nainstalovat nové verze těchto aplikací s opravami. Pro manuální instalaci můžete využít stránek
.
Zdroj:
