Lenovo schließt Zero-Day-Lücken im Lenovo Solution Center

Zwei Schwachstellen ermöglichen das Ausführen von Schadsoftware mit Systemrechten. Sie stecken im Hintergrunddienst des Lenovo Solution Center. Außerdem sind die Versionen 2.8.005 sowie 3.2.0001 und früher auch anfällig für Cross-Site Request-Forgery.

Lenovo hat die vor rund einer Woche bekannt gewordenen Zero-Day-Lücken in seiner Support-Software Lenovo Solution Center geschlossen. Sie erlauben es einem Advisory des Unternehmens zufolge, Schadcode einzuschleusen und mit Systemrechten auszuführen. Entdeckt hatte sie ein Sicherheitsforscher, der sich selbst „slipstream/RoL“ nennt. Ähnliche Anfälligkeiten fand er auch in vorinstallierten Systemanwendungen von Dell und Toshiba.

Lenovo-Logo 2015 (Bild: Lenovo)Die drei Schwachstellen mit den Kennungen CVE-2015-8534, CVE-2015-8535 und CVE-2015-8536 stecken im Hintergrunddienst des Solution Centers (LSCTaskService). Er werde auch nach dem Schließen des Frontend User Interface weiter ausgeführt, heißt es in dem Advisory. Eine der Lücken ermöglicht zudem Cross-Site-Request-Forgery (CSRF).

Die Patches stehen ab sofort für Computer zur Verfügung, auf denen das Lenovo Solution Center 2.8.005 und früher oder die Version 3.2.0001 und früher installiert ist. Die Version 2.x findet sich auf Geräten, die mit Windows 7, Windows 8 oder Windows 8.1 ausgeliefert wurden, während die Version 3.x für Windows 10 entwickelt wurde. Lenovo weist darauf hin, dass beim Umstieg von Windows 7 oder 8.x auf Windows 10 das Solution Center nicht aktualisiert wird und somit einige Nutzer unter Windows 10 auch die Version 2.x der Software vorfinden. Die Versionsnummer kann im Solution Center 2.x mit einem Klick auf das blaue Fragezeichen in der unteren rechten Ecke und im Solution Center 3.x über das „i“ in der rechten oberen Ecke ermittelt werden.

Betroffenen Nutzern rät der chinesische PC-Hersteller, ihre Software über die Updatefunktion des Solution Center zu aktualisieren. Alternativ verteilt Lenovo die neue Version auch über das Tool Lenovo System Update sowie seine Website.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Wie viele Nutzer von den Schwachstellen betroffen sind und auf welchen Produkten das Lenovo Solution Center vorinstalliert ist, teilte das Unternehmen nicht mit. Die Zahl der betroffenen Systeme könnte, da auch mit Windows 7 ausgelieferte Computer anfällig sind, in die Millionen gehen. Allein im dritten Quartal 2015 setzte Lenovo weltweit nach eigenen Angaben 13,5 Millionen PCs ab.

Tipp: Windows 7, Mac OS X, Ubuntu, … Kennen Sie die Unterschiede zwischen den wichtigsten Betriebssystemen? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.

Themenseiten: Lenovo, Security, Sicherheit, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Lenovo schließt Zero-Day-Lücken im Lenovo Solution Center

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *