Patches für Sicherheitslücken im Lenovo Solution Center verfügbar
Nutzern rät der PC-Hersteller, die Software über die Update-Funktion des Lebovo Solution Center umgehend zu aktualisieren. Vergangene Woche waren zwei Sicherheitslücken in dem Dienst entdeckt worden, die ausgenutzt werden konnten, um Schadsoftware mit Systemrechten auszuführen.
Lenovo hat die vergangene Woche bekannt gewordenen Sicherheitslücken in seiner Support-Software Lenovo Solution Center nun geschlossen. Über sie konnten Angreifer Schadcode einschleusen und mit Systemrechten ausführen. Der Sicherheitsforscher slipstream/RoL hatte ähnliche Schwachstellen auch in vorinstallierten Systemanwendungen auf Rechnern von Dell und Toshiba gefunden.
Die drei nun von Lenovo geschlossenen Schwachstellen CVE-2015-8534, CVE-2015-8535 und CVE-2015-8536 finden sich im Hintergrunddienst LSCTaskService. Er wird auch nach dem Schließen des Frontend User Interface weiter ausgeführt. Eine der Lücken ermöglicht zudem Cross-Site-Request-Forgery (CSRF).
Die Patches stehen jetzt für Rechner zur Verfügung, auf denen Lenovo Solution Center 2.8.005 und früher oder die Version 3.2.0001 und früher installiert sind. Version 2.x findet sich auf Computern, die mit Windows 7, Windows 8 oder Windows 8.1 als Betriebssystem ausgeliefert wurden. Version 3.x wurde für Windows 10 konzipiert. Laut Lenovo wird beim Umstieg von Windows 7 oder 8.x auf Windows 10 das Solution Center nicht aktualisiert. Einige Nutzer von Windows 10 verwenden daher nach wie vor Version 2.x der Software.
Die Versionsnummer kann im Solution Center 2.x mit einem Klick auf das blaue Fragezeichen in der unteren rechten Ecke und im Solution Center 3.x über das “i” in der rechten oberen Ecke ermittelt werden. Nutzern sollten die Software umgehend über die Update-Funktion des Solution Center aktualisieren. Alternativ bietet Lenovo die neue Version auch über das Tool Lenovo System Update sowie auf seiner Website zum Download an.
[mit Material von Stefan Beiersmann, ZDNet.de]