Bereits im Frühjahr traten Sicherheitslücken in der auf Lenovo-Rechnern vorinstallierten Adware Superfish auf. Angreifer konnten über eine auf ab Werk installierte Service-Software den Rechner übernehmen, wie im Mai bekannt wurde.

Unter anderem dient das Tool ThinkVantage System Update zum leichteren Installieren von Treiber- und BIOS-Updates. Die gefundenen Lücken waren nur schwer auszunutzen, da sich der Angreifer in die Verbindung zwischen dem PC und den Lenovo-Servern hätte hacken müssen.

Die Service-Software-Variante Lenovo Solution Center (LSC) ist offenbar nun auch betroffen und eine neue LSC-Version soll mehrere Lücken ausbessern. Laut Hersteller konnten Angreifer System-Rechte erlangen und so eigene Programme auf den anfälligen Maschinen mit Admin-Privilegien ausführen.

Eine dieser Lücken soll diesmal auch über Cross-Site Request Forgery (CSRF) ausnutzbar sein, was dazu führt, dass Angriffe auch aus der Ferne über kompromittierte Websites durchführbar sind. Der Anwender braucht dabei nur auf einen harmlos aussehenden Link in einer Phishing-Mail klicken. Nutzer, die LSC auf einem Lenovo-PC betreiben, sollten es daher unbedingt aktualisieren.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE