Bezpečnostní chyba System Update již byla opravenaProfi

Bezpečnostní chyba System Update již byla opravena

Aplikace Lenovo (ThinkVantage) System Update obsahovala bezpečnostní chybu, která mohla být velmi snadno zneužita pro spouštění úloh se správcovskými právy. Chyba již byla opravena, ačkoliv některé servery o tom zatím neví…

IOActive v únoru (asi v návaznosti na populární kauzu Superfish) odhalilo bezpečnostní díru v aplikaci Lenovo System Update pro automatickou aktualizaci ovladačů, firmware a software zařízení Lenovo Think, která byla rovněž součástí dnes již zaniknuvšího balíku ThinkVantage Tools. Bezpečnostní trhlina spočívala v tom, že skrze tuto aktualizační službu bylo možné spouštět aplikace a provádět jiné úkony s nejvyšším systémovým oprávněním, a to i tehdy, byl-li přihlášen zcela běžný uživatel bez zvláštních práv.

Lenovo problém napravilo minulý měsíc. Jelikož některé servery stále o problému hovoří, chtěli bychom alespoň prostřednictvím blogu oznámit, že problém již tedy není aktuální. Chyba se týkala pouze aplikace System Update ve verzi 5.6.0.27 a starší, aktuální verzi 5.6.0.34 můžete stahovat zde.