Несколько месяцев назад компания Lenovo была уличена в установке рекламного ПО на свои ноутбуки. Затем она опубликовала инструкцию по его удалению, хотя и не видела большой проблемы в наличии такого ПО в системе. Теперь же специалисты компании IOActive, специализирующейся на вопросах информационной безопасности, выявили новые уязвимости в компьютерах Lenovo.
Отмечается, что проблемы обнаружены в системе обновления Lenovo. Выявленные уязвимости позволяет злоумышленникам обойти проверку подлинности и заменить подлинные программы Lenovo на вредоносное ПО, а затем — удалённо запускать команды. Благодаря одной из обнаруженных уязвимостей злоумышленники могут создать поддельные сертификаты и использовать их для подтверждения исполняемых файлов. Благодаря этому под видом легальных программ Lenovo можно скрывать вредоносное ПО. Таким образом, стоит владельцу ноутбука Lenovo обновить программное обеспечение для своего устройства в общественном месте, как возникает риск использования бреши в системе безопасности и подмены программ. Проблема существует в Lenovo System Update 5.6.0.27 и более ранних версиях.
Указанные уязвимости были обнаружены в феврале этого года. Собранные сведения были переданы в компанию Lenovo, и в прошлом месяце она выпустила исправление, устраняющее обнаруженные ошибки. Однако владельцам компьютеров Lenovo необходимо самостоятельно загрузить обновление, чтобы избежать риска установки стороннего ПО.
Источник: The Verge