Il laptop Lenovo potrebbe presentare un grave difetto di sicurezza

Gli utenti di laptop Lenovo meno recenti devono fare attenzione a un difetto di sicurezza che può influire sui loro PC, in particolare se i loro laptop eseguono ancora un programma chiamato Lenovo Solution Center.
Secondo Laptop Magazine , i ricercatori sulla sicurezza di Pen Test Partners hanno scoperto una vulnerabilità di sicurezza che potrebbe effettivamente "trasferire i privilegi di amministratore su hacker o malware". E poiché il difetto riguarda i laptop Lenovo preinstallati con il programma Lenovo Solution Center, milioni dei laptop Lenovo più vecchi potrebbe essere influenzato dal difetto. Questo perché i laptop Lenovo hanno installato il programma per anni, dal 2011 fino a novembre 2018.
Pen Test Partners ha pubblicato il proprio post sul difetto giovedì 22 agosto. Nel post, PTP ha descritto il difetto come una "vulnerabilità di escalation di privilegi" che consente l'uso di un bug di sovrascrittura DACL (elenco di controllo di accesso discrezionale) e un "collegamento fisico" "(Pseudo) file per consentire a" l'utente con privilegi limitati di assumere il pieno controllo di un file a cui normalmente non dovrebbe essere consentito. Questo, se sei intelligente, può essere utilizzato per eseguire codice arbitrario sul sistema con privilegi di amministratore o di sistema. "
Lenovo ha emesso un proprio avviso di sicurezza relativo al difetto martedì 20 agosto. In questa dichiarazione , Lenovo ha dichiarato che il difetto ha interessato i dispositivi che eseguono Lenovo Solution Center versione 03.12.003 e raccomanda agli utenti Lenovo di procedere e disinstallare Lenovo Solution Center (che è non è più supportato) e "migrare a Lenovo Vantage o Lenovo Diagnostics". La dichiarazione di avviso di sicurezza di Lenovo includeva anche le istruzioni su come disinstallare Lenovo Solution Center per i dispositivi che eseguono Windows 10, Windows 8 e Windows 7.
Vale anche la pena notare che nel suo post, Pen Test Partners ha anche notato una discrepanza tra la data effettiva di fine vita del programma Lenovo Solution Center:
"Mentre Lenovo ha risposto alla mia divulgazione, quando abbiamo segnalato questo a maggio, la loro pagina di download di LSC ha notato che lo strumento è diventato obsoleto a novembre 2018 … Ma subito dopo la loro divulgazione, abbiamo notato che avevano cambiato la fine -di-data della vita per far sembrare che sia finita la vita anche prima che fosse rilasciata l'ultima versione. Il loro avviso di vulnerabilità afferma: "Lenovo ha terminato il supporto per Lenovo Solution Center e ha raccomandato ai clienti di migrare a Lenovo Vantage o Lenovo Diagnostics nell'aprile 2018." … Tuttavia l'ultima versione di LSC è stata il 15 ottobre 2018 … Potrebbe essere un errore di battitura o Lenovo stava cercando di coprire le proprie tracce? Fuorviante e strano. "
Il registro ha chiesto a Lenovo la discrepanza della data di fine vita e il produttore del laptop ha risposto con la seguente dichiarazione:
"Spesso per le applicazioni che raggiungono la fine del supporto continuiamo ad aggiornare le applicazioni mentre passiamo a nuove offerte per garantire ai clienti che non hanno effettuato la transizione o scelgono di non avere ancora un livello minimo di supporto, una pratica che non è raro nel settore. "
Digital Trends ha contattato Lenovo per un commento e aggiorneremo questo articolo una volta ricevuta la risposta.