Søg

Først var det crapwaren Superfish - og nu lukker Lenovo nye alvorlige systemhuller

Verdens største pc-producent er igen ramt af sårbarheder, denne gang i System Update Service, der ellers skal sikre brugernes maskiner.

08. maj 2015 kl. 08.28
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

Lenovo, der i de seneste måneder har været i vælten på grund af malwaren/crapwaren Superfish, må nu igen bide i det sure æble og anerkende alvorlige sårbarheder i selskabets produkter.

Tre alvorlige sårbarheder i Lenovos opdaterings-system til pc'erne bliver derfor nu lukket.

Det er sikkerhedsfirmaet IOActive, der dokumenterer sårbarhederne, der ligger gemt i pc-gigantens System Update Service, der bruges til at udsende nye softwareopdateringer til brugerne.

Sikkerhedssitet Threatpost forklarer, at Lenovo ganske vist begrænser adgangen til System Update Service ved at kræve autentificering via en sikkerheds-token, men at problemet er, at engangsadgangskoden er forudsigelig, så kriminelle vil kunne gætte sig til den og på den måde eksekvere ondsindet kode via SUService.exe.

En anden sårbarhed handler ifølge Threatpost om, at kriminelle kan snyde signatur-valideringen, der ellers skulle sikre, at kun ægte Lenovo-applikationer bliver downloadet.

På den måde kan der oprettes en falsk webside med ondsindet kode, som Lenovo-maskinerne antager er den ægte vare.

Det fører også til den tredje sårbarhed i System Update Service fra Lenovo, der åbner for, at kriminelle kan køre kommandoer som en administrator, fordi systemet er for lang tid om at verificere koden, der skal afvikles.

"En lokal angriber kunne udnytte dette til at udføre ‘local privilege escalation' ved at vente på, at System Update verificerer signaturen og så skifte koden ud med en ondsindet version, før System Update er i stand til at køre den eksekverbare kode. Når så System Update endelig er klar til at afvikle koden, vil det køre den ondsindede version og tro, at de var den, som den allerede havde verificeret," forklarer IOActive

Opdateringer er klar

Lenovo har nu udsendt opdateringer, der lukker alle tre huller, og brugerne burde automatisk få besked om, at opdateringen er klar via Lenovo System Update.

Læs mere om opdateringerne hos Lenovo

Lenovo kom tidligere år i vælten, fordi noget af den bloatware, selskabet præinstallererer på dets maskiner, var at betegne som regulær malware.

Superfish, som bloatwaren hedder, indeholdt nemlig en bagdør, der potentielt kunne udnyttes til man-in-the-middle-angreb.

Læs også:

Lenovo på vej med ren Windows-udgave: Det skal være slut med crapwaren superfish

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Statens IT

    Vil du arbejde med virtualisering (vmware) i Statens It?

    Københavnsområdet

    TV2

    Product Manager til Network i TV 2

    Fyn

    Danoffice IT

    Infrastructure Specialist

    Midtjylland

    AL Sydbank A/S (tidligere Arbejdernes Landsbank)

    Teamleder til AL Sydbanks GDPR & Tech Regulation i Aabenraa

    Sydjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Immeo har pr. 1. maj 2026 ansat Peter Lorenz Nellemann som Senior Manager. Han kommer fra en stilling som Senior Strategy Manager hos Pentia. Han er uddannet i Software Engineering. Nyt job

    Peter Lorenz Nellemann

    Immeo

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Et kinesisk kampfly i frit fald - og en verden, som vi slet ikke ønsker os
    2 Kan ændre iPhone-kameraet markant: Står foran sin største opgradering i årevis
    3 BitLocker kan knækkes på få minutter med en USB-stick: Sådan kan du beskytte din pc
    4 Nedtælling til skæbnesvanger messe for Apple: Det kan du forvente fra det enorme WWDC-show
    5 Netcompany-stifterne André Rogaczewski og Claus Bo Jørgensen skovler penge ind: Så meget scorede de i 2025
    6 To it-topchefer: Sådan sikrer du dine kompetencer i en tid, hvor AI presser it-folk til arbejdsløshed
    7 Morgen-briefing: Meta åbner algoritmen for forældre / Børsnoteret dansk tech-selskab fordobler indtjeningen / Regering overvejer at dele AI-gevinster med befolkningen
    8 Han opfandt Oculus Rift og står nu bag vildt AI-baseret våbenfirma: Har fordoblet sin værdi på et år - er nu 400 milliarder kroner værd

    Se seneste uge