Ich habe zwischenzeitlich aufgegeben, zu zählen, wie häufig ich hier im Blog bereits über Sicherheitslücken, die durch Bloatware der OEMs auf Windows-Rechnern aufgerissen werden, berichtet habe. Nun ist Lenovo wieder dran, deren Lenovo Solution Center weist eine gravierende Sicherheitslücke auf.
Anzeige
Bloatware Lenovo Solution Center als Sicherheitsrisiko
Zum Hintergrund: Das Lenovo Solution Center ist eine von Lenovo entwickelte Softwareanwendung für Think Produkte, mit der Benutzer ihren Computer optimal nutzen können. Mit dieser Software sollen Benutzer bequem den Status von System, Netzwerkverbindungen und Systemsicherheit anzeigen können – so der Hersteller.
(Quelle: Lenovo)
Das Lenovo Solution Center ist auf ausgelieferten Lenovo-Rechnern im Beipack vorinstalliert. Konkret schreibt Lenovo: Vorinstalliert (und zum Download verfügbar) auf neuen Lenovo Systemen mit Windows 8 64 Bit und 32 Bit sowie Windows 7. Die Software wird aber für Windows 7 bis Windows 10 bereitgestellt – es könnten also auch Windows 10-Rechner von Lenovo mit der vorinstallierten Software in den Handel gelangen.
Leider ist dieses Systemtool als Sicherheitsloch par excellence verrufen. Die letzte Warnung stammte vom Mai diesen Jahres (Wieder Sicherheitslücke in Lenovo Solution Center), wo Lenovo die Version 3.3.002 des Solution Center freigegeben hat, die eine fette Sicherheitslücke beseitigen sollte.
Anzeige
Version 3.3.003 behebt neue Sicherheitslücken
In den Security Advisories CVE-2016-5248 und CVE-2016-5249 beschreibt Lenovo zwei gravierende Sicherheitslücken (Einstufung als High) im Lenovo Solution Center. Beide Lücken ermöglichen Angreifern über lokale Benutzerkonten eine Erhöhung der Privilegien für LocalSystem.
Local privilege escalation vulnerabilities were identified in Lenovo Solution Center where unprivileged local users could terminate processes running at higher privilege levels (CVE-2016-5248) or execute arbitrary code (CVE-2016-5249) with LocalSystem account privileges.
Betroffen sind laut Lenovo alle Versionen des Lenovo Solution Center vor der Version 3.3.003. Lenovo bietet auf dieser Webseite den Download der Version 3.3.003 des Lenovo Solution Center. Bezeichnend ist dort aber, dass bei den Download-Links keine Versionsangaben zu finden sind.
Meine Empfehlung ist weiterhin: Deinstalliert das Zeugs über die Windows-Systemsteuerung über den Punkt Programm deinstallieren, damit bezüglich Sicherheitslücken Ruhe an dieser Front herrscht. (via, via)
Ähnliche Artikel:
Wieder Sicherheitslücke in Lenovo Solution Center
CA-Zertifikat für Bluetooth auf Lenovo-Rechnern
Lücke im Lenovo Solution Center geschlossen
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Sammelt Lenovo Daten auf ThinkPad, ThinkCentre, ThinkStation?
Optionales Windows-Update KB3107998 für Lenovo-PCs (USB Blocker Tool)
Lenovo Service Engine (LSE) – Superfish reloaded II
Windows 10: Lenovo Accelerator Application deinstallieren
Anzeige
Das Lenovo Solution Center benötigt außerdem noch die Adobe AIR Laufzeitumgebung, welche ebenfalls als Sicherheitslücke in Verruf geraten ist. Nach dem Deinstallieren von LSC sollte man also Adobe AIR gleich als nächstes von der Platte schmeißen…
Gruß, SdH