Eski Lenovo dizüstü bilgisayar sahiplerinin, Lenovo Solution Center'ı mümkün olan en kısa sürede kaldırması gerekir.
Pen Test Partners'daki güvenlik araştırmacıları, Lenovo Çözüm Merkezi'nde yönetici ayrıcalıklarını bilgisayar korsanlarına veya kötü amaçlı yazılımlara devredebilecek kritik bir güvenlik açığı buldu.
Pen Test Partners'a göre kusur, isteğe bağlı erişim kontrol listesi (DACL) üzerine yazma işlemidir; bu, düşük ayrıcalıklı bir kullanıcının yüksek ayrıcalıklı bir süreçten yararlanarak hassas bir dosyaya gizlice girebileceği anlamına gelir. Bu, normalde yalnızca yöneticilerin erişebildiği kaynaklara erişim sağlamak için bir hatanın kullanılabileceği "ayrıcalıklı yükseltme" saldırısına bir örnektir.
Bu durumda, bir saldırgan, Lenovo Solution Center tarafından çalıştırıldığında hassas dosyalara erişecek, aksi takdirde erişmesine izin verilmemesi gereken bir sözde dosya (sabit bağlantı dosyası olarak adlandırılır) yazabilir. Oradan, Pen Test Partners'ın belirttiği gibi, temelde oyun olan, yönetici veya sistem ayrıcalıklarıyla sistemde zararlı kod çalıştırılabilir.
Lenovo Solution Center, 2011'den Kasım 2022-2023'ye kadar Lenovo dizüstü bilgisayarlarına önceden yüklenmiş bir programdır; bu, milyonlarca cihazın etkilenebileceği anlamına gelir. İronik olarak, programın amacı bir Lenovo PC'nin sağlığını ve güvenliğini izlemektir. Bu kusur, sistemlerini hızla koruyabilen bireysel kullanıcılar için çok büyük bir endişe kaynağı olmasa da, eski ThinkPad dizüstü bilgisayarlardan oluşan bir filoya sahip olan ve eski yazılımları kullanan daha büyük şirketler adapte olmakta yavaş olabilir.
Lenovo, kendi adına, kullanıcıları hata hakkında uyaran ve onları şirketin artık desteklemediği Çözüm Merkezi'ni kaldırmaya çağıran bir güvenlik bildirimi yayınladı.
"Artık desteklenmeyen Lenovo Solution Center sürüm 03.12.003'te bildirilen bir güvenlik açığı, günlük dosyalarının standart olmayan konumlara yazılmasına ve potansiyel olarak ayrıcalık yükselmesine yol açmasına izin verebilir. Lenovo, Lenovo Solution Center desteğini sonlandırdı ve müşterilerin geçiş yapmasını önerdi. Nisan 2022-2023'de Lenovo Vantage veya Lenovo Diagnostics'e," ifadesini okur.
Lenovo, Solution Center önceden yüklenmiş dizüstü bilgisayarların sevkiyatını ne zaman durdurduğunu belirtmedi, bu nedenle bir yıldan daha eski olmayan birçok Lenovo dizüstü bilgisayarın büyük kusurlara sahip desteklenmeyen yazılımlar taşıması olasıdır.
Lenovo ayrıca izlerini örtmekle suçlandı. Kalem Testi Ortaklarına göre, Lenovo'yu güvenlik açığı hakkında bilgilendirdikten sonra, bilgisayar üreticisinin, özelliğin son sürüm Kasım2021-2022'de piyasaya sürülmeden önce durdurulmuş gibi görünmesi için Solution Center'ın kullanım ömrünün bitiş tarihini birkaç ay geri aldığı iddia edildi. .
"Genellikle desteğin sonuna ulaşan uygulamalar için, yeni tekliflere geçiş yaptıkça uygulamaları güncellemeye devam ediyoruz. Sektörde alışılmadık bir durum değil," dedi Lenovo, tutarsızlık sorulduğunda The Register'a.
Lenovo kurnaz olsun ya da olmasın, sonuç şudur: 2011 ve 2022-2023 yılları arasında üretilmiş bir Lenovo dizüstü bilgisayarınız varsa, o zaman Lenovo Çözüm Merkezi'nden mümkün olan en kısa sürede kesinlikle kurtulun. Windows 10'da programların nasıl kaldırılacağına ilişkin bu basit kılavuzu izleyerek bunu yapabilirsiniz.
Laptop Magazine, yorum için Lenovo'ya ulaştı ve bir yanıt aldığımızda bu hikayeyi güncelleyeceğiz.
- Bir VPN Güvenliğinizi ve Gizliliğinizi Nasıl Artırabilir | Tom'un Kılavuzu