Новости
Опять двадцать пять. Предустановленная на ноутбуках Lenovo утилита содержит опасную уязвимость, компания заметает следы

Опять двадцать пять. Предустановленная на ноутбуках Lenovo утилита содержит опасную уязвимость, компания заметает следы

Опять двадцать пять. Предустановленная на ноутбуках Lenovo утилита содержит опасную уязвимость, компания заметает следы


Специалисты из Pen Test Partners обнаружили уязвимость в утилите Lenovo Solution Center (LSC), которая предустанавливается на большинстве ноутбуков Lenovo. Уязвимость, получившая идентификатор CVE-2019-6177, позволяет любому пользователю, имеющему локальный или удаленный доступ к компьютеру, получить права администратора в операционной системе Windows.

По словам исследователей, проблема существует в программном обеспечении Lenovo с 2011 года. Баг заключается в перезаписи DACL (список избирательного управления доступом), когда привилегированный процесс Lenovo беспорядочно перезаписывает привилегии файлов, которые контролирует пользователь с низкими привилегиями. 

Когда специалисты Pen Test Partners впервые сообщили об этом Lenovo в мае текущего года, компания задним числом изменила срок поддержки утилиты LSC на апрель 2018 года, хотя изначально на сайте была указана дата «30 ноября 2018 года». Это выглядело так, как будто Lenovo выпускает обновления для продукта, который якобы уже не поддерживается разработчиками. К слову, последняя версия LSC была выпущена в октябре 2018 года. Сейчас компания советует пользователям переходить на Lenovo Vantage или Lenovo Diagnostics. 

«Зачастую для программного обеспечения, срок поддержки которого завершён, мы продолжаем выпускать обновления по мере перехода к новым продуктам, чтобы гарантировать нашим клиентам, которые не успели или не захотели перейти, минимальный уровень поддержки. Это практика, которая не является редкостью в нашей отрасли», – ответили в пресс-службе Lenovo.

Это не первый случай разоблачения компании Lenovo, то через дыры в безопасности ноутбуков, то за предустановленные шпионские программы. Похоже, что со времён скандала с рекламным ПО Superfish ничего не изменилось (тогда компания получила штраф в размере $3,5 млн).

Источник: Tom’s Hardware