Lenovo、System Updateの脆弱性を修正 管理者権限を取得される恐れ
「System Update」の脆弱性を悪用された場合、攻撃者に管理者権限を取得される恐れがある。
» 2015年11月26日 07時49分 公開
[鈴木聖子,ITmedia]
Lenovoはこのほどリリースした「System Update」の更新版で、2件の権限昇格の脆弱性を修正した。この問題を発見したセキュリティ企業IOActiveが11月25日のブログで伝えた。
Lenovo System UpdateはドライバやBIOSの更新、サポートの提供などに使われている。IOActiveによると、脆弱性のうち1件は、オンラインヘルプ用のシステムに存在する。ヘルプ用のURLページを表示する際に管理者権限でInternet Explorerが起動する問題を突いて、攻撃者に管理者権限を取得される恐れがあるという。
もう1件は、特定の状況下で一時的な管理用アカウントが作成される機能に脆弱性があり、攻撃者が一時的な管理者アカウントのユーザー名とパスワードを推定して、管理者権限を取得することが可能とされる。
この2件の脆弱性は、System Updateのバージョン5.07.0019で修正されているという。
関連記事
Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという
Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も
米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。
Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も
US-CERTによると、LenovoのノートPCにプリインストールされていたSuperfishには重大な脆弱性があり、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れがある。
LenovoのノートPCに不正なアドウェア、SSL通信を傍受
セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。