Lenovo opravilo bezpečnostní problém, systém aktualizací šel snadno hacknout
7.5.2015, Milan Šurkala, aktualita
Po nedávném bezpečnostním problému se softwarem Superfish mělo Lenovo další problém. Její systém aktualizací (updatů) totiž využíval nedostatečného zabezpečení předpověditelnými tokeny a mohl být hackery snadno napaden.
V únoru letošního roku měla společnost Lenovo velký problém s bezpečností kvůli nainstalovanému software Superfish. Po čtvrt roce má další problém s bezpečností. Jde o systém updatů, tedy aktualizací softwaru. Aplikace System Update Service vyžaduje autentizaci pomocí bezpečnostního tokenu, bohužel tento token lze snadno vygenerovat kýmkoli. I uživatel s minimem práv tak ve výsledku může mít stejná práva jako aktualizační aplikace a dostat tedy práva uživatele SYSTEM. Jinak řečeno, kompletní přístup.
Spolu s problémem nedostatečné validace certifikačních autorit lze nahradit aplikace Lenova škodlivými aplikacemi útočníka a bez větších potíží je spustit na počítači oběti. Tyto chyby byly opraveny v průběhu dubna a pokud jste tak zatím neučinili, měli byste si nainstalovat nové verze těchto aplikací s opravami. Pro manuální instalaci můžete využít stránek společnosti Lenovo.
Zdroj: Lenovo
Spolu s problémem nedostatečné validace certifikačních autorit lze nahradit aplikace Lenova škodlivými aplikacemi útočníka a bez větších potíží je spustit na počítači oběti. Tyto chyby byly opraveny v průběhu dubna a pokud jste tak zatím neučinili, měli byste si nainstalovat nové verze těchto aplikací s opravami. Pro manuální instalaci můžete využít stránek společnosti Lenovo.
Zdroj: Lenovo
