Søg

Først var det crapwaren Superfish - og nu lukker Lenovo nye alvorlige systemhuller

Verdens største pc-producent er igen ramt af sårbarheder, denne gang i System Update Service, der ellers skal sikre brugernes maskiner.

08. maj 2015 kl. 08.28
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

Lenovo, der i de seneste måneder har været i vælten på grund af malwaren/crapwaren Superfish, må nu igen bide i det sure æble og anerkende alvorlige sårbarheder i selskabets produkter.

Tre alvorlige sårbarheder i Lenovos opdaterings-system til pc'erne bliver derfor nu lukket.

Det er sikkerhedsfirmaet IOActive, der dokumenterer sårbarhederne, der ligger gemt i pc-gigantens System Update Service, der bruges til at udsende nye softwareopdateringer til brugerne.

Sikkerhedssitet Threatpost forklarer, at Lenovo ganske vist begrænser adgangen til System Update Service ved at kræve autentificering via en sikkerheds-token, men at problemet er, at engangsadgangskoden er forudsigelig, så kriminelle vil kunne gætte sig til den og på den måde eksekvere ondsindet kode via SUService.exe.

En anden sårbarhed handler ifølge Threatpost om, at kriminelle kan snyde signatur-valideringen, der ellers skulle sikre, at kun ægte Lenovo-applikationer bliver downloadet.

På den måde kan der oprettes en falsk webside med ondsindet kode, som Lenovo-maskinerne antager er den ægte vare.

Det fører også til den tredje sårbarhed i System Update Service fra Lenovo, der åbner for, at kriminelle kan køre kommandoer som en administrator, fordi systemet er for lang tid om at verificere koden, der skal afvikles.

"En lokal angriber kunne udnytte dette til at udføre ‘local privilege escalation' ved at vente på, at System Update verificerer signaturen og så skifte koden ud med en ondsindet version, før System Update er i stand til at køre den eksekverbare kode. Når så System Update endelig er klar til at afvikle koden, vil det køre den ondsindede version og tro, at de var den, som den allerede havde verificeret," forklarer IOActive

Opdateringer er klar

Lenovo har nu udsendt opdateringer, der lukker alle tre huller, og brugerne burde automatisk få besked om, at opdateringen er klar via Lenovo System Update.

Læs mere om opdateringerne hos Lenovo

Lenovo kom tidligere år i vælten, fordi noget af den bloatware, selskabet præinstallererer på dets maskiner, var at betegne som regulær malware.

Superfish, som bloatwaren hedder, indeholdt nemlig en bagdør, der potentielt kunne udnyttes til man-in-the-middle-angreb.

Læs også:

Lenovo på vej med ren Windows-udgave: Det skal være slut med crapwaren superfish

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Computerworld Summit 2026 - Aarhus

    Digital transformation | Aarhus C

    Computerworld Summit 2026 - Aarhus

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 200 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i Aarhus viser hvordan teknologi skaber forretningsværdi – her og nu.

    Roundtable: Vækst, skalering og internationalisering i en ny virkelighed

    Infrastruktur | Frederiksberg

    Roundtable: Vækst, skalering og internationalisering i en ny virkelighed

    Vækst og internationalisering kræver it, der kan skifte retning uden at knække. Lær at designe løst koblede platforme, planlægge leverandørskift og skalere til nye markeder uden tab af tempo og kontrol. Deltag i dette lukkede roundtable med...

    Computerworld Summit 2026 - København

    Digital transformation | København

    Computerworld Summit 2026 - København

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 250 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i København viser hvordan teknologi skaber forretningsværdi – her og nu.

    Se alle vores events inden for it

    Købstædernes Forsikring

    DevOps Specialist til IT hos Købstædernes Forsikring

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Nordjylland

    Capgemini Danmark A/S

    Financial Accounting Consultant (SAP)

    Københavnsområdet

    Erhvervsakademi Aarhus

    Undervisere til it-uddannelser

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    55,7° North (a Beautiful Things company) har pr. 2. februar 2026 ansat Philip Jacobi Zahle, 53 år, som Partner & CSMO. Han skal især beskæftige sig med Ansvar for Salg, Marketing og Brandudvikling i Norden, som han tidligere har gjort med GoPro, Skullcandy og Insta360 m.fl. Han kommer fra en stilling som Marketing & Branding Manager hos Boston Group A/S. Han har tidligere beskæftiget sig med distribution og brand building gennem 26 år og er kendt fra mærker som GoPro, Skullcandy og Insta360. Nyt job

    Philip Jacobi Zahle

    55,7° North (a Beautiful Things company)

    Renewtech ApS har pr. 1. februar 2026 ansat Thomas Bjørn Nielsen som E-Commerce Manager. Han skal især beskæftige sig med at optimere og vækste virksomhedens digitale platforme yderligere. Han kommer fra en stilling som Operations Project Manager hos Tiger Media. Han er uddannet fra Aalborg Universitet og har en MSc. i International Virksomhedsøkonomi. Nyt job

    Thomas Bjørn Nielsen

    Renewtech ApS

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Norriq Danmark A/S har pr. 1. februar 2026 ansat Michael Benner som Senior Solution Architect. Han skal især beskæftige sig med Microsoft Fabric Accelerator Framework herunder videreudvikling af frameworket, kundeimplementeringer og pre-sales opgaver. Han kommer fra en stilling som løsningensarkitekt hos Columbus Data & AI. Han er uddannet Økonomistyring fra Aalborg Universitet. Han har tidligere beskæftiget sig med at være ansat i revisionsbranchen hos PwC Forensic og Deloitte Forensic. Nyt job

    Michael Benner

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Stortest: ChatGPT, Gemini og Claude mod de europæiske og kinesiske alternativer – hvilken løsning er bedst?
    2 Nørgaard: Du bør tage fri fra arbejde så du kan arbejde igennem
    3 Digital suverænitet: Fire europæiske it-selskaber bliver hoved-leverandører til EU - tegner milliard-kontrakt
    4 Her er de bedste pc’er til prisen lige nu: Sidste udkald hvis du skal have en skarp pris
    5 10 måneders ingeniørarbejde kan nu klares på en enkelt dag ved hjælp af AI
    6 Microsoft vil begynde forfra med ny Windows 11: Her er de vigtigste ændringer
    7 Vigtige oplysninger om Forsvarets it-sikkerhed er på 73. dag mørklagt: “Jeg er rigtig træt af det her," siger chef i Rigsrevisionen
    8 Danske Microsoft-eksperter om Microsofts nye standard-indstilling i M365: Derfor bør du slå det fra

    Se seneste uge