Lenovo製品のアップデート機能に深刻な脆弱性、更新版で対処

公衆無線LANなどを通じて通信に割り込む中間者攻撃を仕掛け、Lenovoの実行可能ファイルを不正な実行可能ファイルに入れ替えることも可能だったという。

[鈴木聖子，ITmedia]

　LenovoのThinkPadなどのアップデート配信に使われている「Lenovo System Update」に深刻な脆弱性が指摘され、同社は更新版をリリースして脆弱性に対処したことを明らかにした。

　脆弱性を発見したIOActiveのアドバイザリーによると、Lenovo System Updateの5.6.0.27までのバージョンに3件の脆弱性が見つかった。このうちの1件では、攻撃者が署名による認証をかわして信頼できるLenovoアプリケーションを不正なアプリケーションと入れ替え、そのアプリを特権ユーザーとして実行できてしまう恐れがあったとされる。

　System Updateではインターネット経由で実行可能ファイルをダウンロードして実行する仕組みになっているため、リモートの攻撃者がこの脆弱性を悪用すれば、例えば公衆無線LANなどを通じて通信に割り込む中間者攻撃を仕掛け、Lenovoの実行可能ファイルを不正な実行可能ファイルに入れ替えることもできてしまうという。

　Lenovoではこうした攻撃を防ぐために実行可能ファイルの署名をチェックする仕組みを実装しているが、この仕組みが完全には機能していなかったとIOActiveは指摘した。

　Lenovoによると、これらの脆弱性はThinkPad、ThinkCentre、ThinkStationの全モデルが影響を受ける。問題を修正したLenovo System Updateのバージョン5.06.0034は、4月1日から配信が開始されている。