ニュース
Lenovo、System Updateの脆弱性を修正 管理者権限を取得される恐れ
「System Update」の脆弱性を悪用された場合、攻撃者に管理者権限を取得される恐れがある。
Lenovoはこのほどリリースした「System Update」の更新版で、2件の権限昇格の脆弱性を修正した。この問題を発見したセキュリティ企業IOActiveが11月25日のブログで伝えた。
Lenovo System UpdateはドライバやBIOSの更新、サポートの提供などに使われている。IOActiveによると、脆弱性のうち1件は、オンラインヘルプ用のシステムに存在する。ヘルプ用のURLページを表示する際に管理者権限でInternet Explorerが起動する問題を突いて、攻撃者に管理者権限を取得される恐れがあるという。
もう1件は、特定の状況下で一時的な管理用アカウントが作成される機能に脆弱性があり、攻撃者が一時的な管理者アカウントのユーザー名とパスワードを推定して、管理者権限を取得することが可能とされる。
この2件の脆弱性は、System Updateのバージョン5.07.0019で修正されているという。
関連記事
- Lenovo、BIOSプログラムの脆弱性に対処 「迷惑ウェア」の指摘も
Lenovo製一部PCのBIOSに含まれる「Lenovo Service Engine」(LSE)では、たとえWindowsを再インストールしてもLenovoのソフトウェアが自動的にインストールされる仕組みになっていたという - Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も
米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。 - Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も
US-CERTによると、LenovoのノートPCにプリインストールされていたSuperfishには重大な脆弱性があり、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れがある。 - LenovoのノートPCに不正なアドウェア、SSL通信を傍受
セキュリティ企業によると、LenovoのノートPCにプリインストールされていた「SuperFish」は、暗号化された通信を傍受して暗号を解除する仕組みをもっているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.