Lenovo adviseert eigen software te verwijderen wegens lekken

[Captain Kirk]

Computerfabrikant Lenovo heeft gebruikers geadviseerd om de eigen software te verwijderen wegens verschillende beveiligingslekken waarvoor nog geen update beschikbaar is. Het gaat om het Lenovo Solution Center, dat standaard op Lenovo-systemen met Windows 7, 8 en 10 wordt geïnstalleerd.

Via de software kunnen gebruikers de gezondheid en veiligheid van het systeem monitoren. Drie kwetsbaarheden in de applicatie maken het mogelijk voor een aanvaller om op afstand willekeurige code met systeemrechten uit te voeren. Hiervoor moet de aanvaller de gebruiker wel een speciaal HTML-document laten openen, bijvoorbeeld door het versturen van een e-mailbijlage of het laten openen van een webpagina. Tevens moet het Solution Center zijn geladen.

De kwetsbaarheid werd direct door een onderzoeker openbaar gemaakt, inclusief code om gebruikers aan te vallen. Lenovo heeft dan ook nog geen update ontwikkeld, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Volgens het CERT/CC is er dan ook nog geen praktische oplossing voor het probleem. Lenovo heeft inmiddels via de eigen website laten weten dat de kwetsbaarheid wordt onderzocht. In afwachting van een update geeft de computerfabrikant gebruikers het advies om de software te verwijderen, aangezien zo het probleem wordt verholpen.

 

bron: security.nl