Компьютеры Lenovo содержат предустановленную уязвимость

Большинство настольных компьютеров и ноутбуков от китайской компании Lenovo, выпущенных до самого недавнего времени, содержат уязвимость в предустановленном программном обеспечении. Речь идет об инструменте Lenovo Solution Centre (LSC), который позволяет пользователям следить за состоянием батареи, проверять наличие обновлений драйверов и т.д. Исследователи компании Pen Test Partners обнаружили уязвимость LSC, получившую идентификатор CVE-2019-6177. Она выявлена в последней версии ПО, однако, по словам исследователей, содержится в коде с момента выпуска инструмента в 2011 году.

Уязвимость CVE-2019-6177 связана с повышением уровня привилегий до административного либо системного уровня. Она потенциально позволяет злоумышленникам перезаписывать разрешения файлов и размещать ссылки в разделах, куда они изначально не имеют доступа. Это, в свою очередь, может вести к исполнению произвольного кода. Представители Lenovo признали наличие проблемы, однако повели себя, мягко говоря, странно. Компания заявила, что не будет исправлять уязвимость, поскольку давно прекратила поддержку LSC. Действительно, сейчас на сайте компании указано, что инструмент Lenovo Solution Centre не поддерживается с апреля 2018 года. Однако Pen Test Partners располагает скриншотами, согласно которым изначально датой окончания поддержки было указано 30 ноября 2018 года. Более того, последняя версия Lenovo Solution Centre была выпущена в октябре того же года. Выпускать очередную версию ПО через полгода после прекращения его поддержки – случай, что и говорить, необычный. Исследователь Pen Test Partners Кен Манро назвал действия китайской компании попыткой «замести уязвимость под ковер».

Пользователям компьютеров Lenovo следует удалить инструмент LSC. Его могут заменить доступные для загрузки на сайте компании Lenovo Vantage или Lenovo Diagnostics, имеющие аналогичный функционал.

Источник: The Register