Lenovo Solution Center ist wieder sicher

Lenovo-Logo 2015 (Bild: Lenovo)

Über mehrere Schwachstellen im Lenovo Solution Center konnten Hacker Schadsoftware mit Systemrechten ausführen.

Lenovo veröffentlicht ein Update für die Support-Software Lenovo Solution Center. In der Software wurde vor etwa einer Woche drei Lecks bekannt, Sie erlauben es einem Advisory des Unternehmens zufolge, Schadcode einzuschleusen und mit Systemrechten auszuführen. Entdeckt hatte sie ein Sicherheitsforscher, der sich selbst “slipstream/RoL” nennt. Ähnliche Anfälligkeiten fand er auch in vorinstallierten Systemanwendungen von Dell und Toshiba.

lenovo-logo-2015Die drei Schwachstellen mit den Kennungen CVE-2015-8534, CVE-2015-8535 und CVE-2015-8536 stecken im Hintergrunddienst des Solution Centers (LSCTaskService). Er werde auch nach dem Schließen des Frontend User Interface weiter ausgeführt, heißt es in dem Advisory. Eine der Lücken ermöglicht zudem Cross-Site-Request-Forgery (CSRF).

Die Patches stehen ab sofort für Computer zur Verfügung, auf denen das Lenovo Solution Center 2.8.005 und früher oder die Version 3.2.0001 und früher installiert ist. Die Version 2.x findet sich auf Geräten, die mit Windows 7, Windows 8 oder Windows 8.1 ausgeliefert wurden, während die Version 3.x für Windows 10 entwickelt wurde. Lenovo weist darauf hin, dass beim Umstieg von Windows 7 oder 8.x auf Windows 10 das Solution Center nicht aktualisiert wird und somit einige Nutzer unter Windows 10 auch die Version 2.x der Software vorfinden. Die Versionsnummer kann im Solution Center 2.x mit einem Klick auf das blaue Fragezeichen in der unteren rechten Ecke und im Solution Center 3.x über das “i” in der rechten oberen Ecke ermittelt werden.

Betroffenen Nutzern rät der chinesische PC-Hersteller, ihre Software über die Updatefunktion des Solution Center zu aktualisieren. Alternativ verteilt Lenovo die neue Version auch über das Tool Lenovo System Update sowie einer Website.

Wie viele Nutzer von den Schwachstellen betroffen sind und auf welchen Produkten das Lenovo Solution Center vorinstalliert ist, teilte das Unternehmen nicht mit. Die Zahl der betroffenen Systeme könnte, da auch mit Windows 7 ausgelieferte Computer anfällig sind, in die Millionen gehen. Allein im dritten Quartal 2015 setzte Lenovo weltweit nach eigenen Angaben 13,5 Millionen PCs ab.

[mit Material von Stefan Beiersmann, ZDNet.de]

<!– Tipp: Windows 7, Mac OS X, Ubuntu, … Kennen Sie die Unterschiede zwischen den wichtigsten Betriebssystemen? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso. –>Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.