Computerfabrikant Lenovo heeft een update voor de Systeem Update-tool uitgebracht die twee kritieke kwetsbaarheden verhelpt waardoor een lokale aanvaller systeem- of beheerdersrechten kon krijgen. De software is op de meeste Lenovo-computers geïnstalleerd en controleert op nieuwe versies van drivers en andere software. Via de software kunnen gebruikers ook updates downloaden en installeren.
Het eerste probleem (pdf) in de Systeem Update-tool betrof het tijdelijke systeembeheerdersaccount dat Lenovo aanmaakte. Voor dit account werd een voorspelbare naam en onveilig wachtwoord gegenereerd, waarmee een lokale gebruiker vervolgens adminrechten kon krijgen. Het tweede probleem (pdf) betrof een rechtenprobleem waardoor een lokale gebruiker zonder rechten Windowscommando's met systeemrechten kon uitvoeren.
Beide kwetsbaarheden werden door beveiligingsbedrijf IOActive in oktober ontdekt en begin november aan Lenovo gerapporteerd. De computerfabrikant kwam vorige week, 17 dagen na de meldingen, met een update voor de Systeem Update-tool. Daarop zijn de details van de kwetsbaarheden nu openbaar gemaakt, inclusief een proof-of-concept die één van de aanvallen laat zien. Lenovo-gebruikers krijgen het advies om versie 5.07.0019 of nieuwer van de Systeem Update-tool te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.