Søg

Først var det crapwaren Superfish - og nu lukker Lenovo nye alvorlige systemhuller

Verdens største pc-producent er igen ramt af sårbarheder, denne gang i System Update Service, der ellers skal sikre brugernes maskiner.

08. maj 2015 kl. 08.28
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

Lenovo, der i de seneste måneder har været i vælten på grund af malwaren/crapwaren Superfish, må nu igen bide i det sure æble og anerkende alvorlige sårbarheder i selskabets produkter.

Tre alvorlige sårbarheder i Lenovos opdaterings-system til pc'erne bliver derfor nu lukket.

Det er sikkerhedsfirmaet IOActive, der dokumenterer sårbarhederne, der ligger gemt i pc-gigantens System Update Service, der bruges til at udsende nye softwareopdateringer til brugerne.

Sikkerhedssitet Threatpost forklarer, at Lenovo ganske vist begrænser adgangen til System Update Service ved at kræve autentificering via en sikkerheds-token, men at problemet er, at engangsadgangskoden er forudsigelig, så kriminelle vil kunne gætte sig til den og på den måde eksekvere ondsindet kode via SUService.exe.

En anden sårbarhed handler ifølge Threatpost om, at kriminelle kan snyde signatur-valideringen, der ellers skulle sikre, at kun ægte Lenovo-applikationer bliver downloadet.

På den måde kan der oprettes en falsk webside med ondsindet kode, som Lenovo-maskinerne antager er den ægte vare.

Det fører også til den tredje sårbarhed i System Update Service fra Lenovo, der åbner for, at kriminelle kan køre kommandoer som en administrator, fordi systemet er for lang tid om at verificere koden, der skal afvikles.

"En lokal angriber kunne udnytte dette til at udføre ‘local privilege escalation' ved at vente på, at System Update verificerer signaturen og så skifte koden ud med en ondsindet version, før System Update er i stand til at køre den eksekverbare kode. Når så System Update endelig er klar til at afvikle koden, vil det køre den ondsindede version og tro, at de var den, som den allerede havde verificeret," forklarer IOActive

Opdateringer er klar

Lenovo har nu udsendt opdateringer, der lukker alle tre huller, og brugerne burde automatisk få besked om, at opdateringen er klar via Lenovo System Update.

Læs mere om opdateringerne hos Lenovo

Lenovo kom tidligere år i vælten, fordi noget af den bloatware, selskabet præinstallererer på dets maskiner, var at betegne som regulær malware.

Superfish, som bloatwaren hedder, indeholdt nemlig en bagdør, der potentielt kunne udnyttes til man-in-the-middle-angreb.

Læs også:

Lenovo på vej med ren Windows-udgave: Det skal være slut med crapwaren superfish

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Platform X 2026: Forretning, teknologi og transformation

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Se alle vores events inden for it

    Sparekassen Danmark

    Erfaren udvikler til modernisering af applikationslandskab

    Nordjylland

    Timengo DPG

    Teknisk Konsulent til vores Service Center

    Københavnsområdet

    Everllence

    Software Engineer – Build the toolchain behind the engines that move the world

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Specialister til Overvågning, sikkerhed og compliance til Forsvarets nye Digital Backbone

    Nordjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Immeo har pr. 1. maj 2026 ansat Peter Lorenz Nellemann som Senior Manager. Han kommer fra en stilling som Senior Strategy Manager hos Pentia. Han er uddannet i Software Engineering. Nyt job

    Peter Lorenz Nellemann

    Immeo

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Nets ramt af kæmpe-nedbrud: Kortbetalinger afvises over hele landet
    2 Nets er tilbage i normal drift og peger på intern fejl som årsag til nedbrud: ”Vi beklager"
    3 Vi tester normalt ikke gadgets: Men når en af slagsen kan lindre myggestik, gør vi en undtagelse
    4 Efter endnu et kæmpe Nets-nedbrud: Resiliens er noget vi har i Danmark - så længe alting virker
    5 Thorborg dropper omstridt AI-funktion: "Jeg skal ikke nyde noget af, at de kommer på besøg igen"
    6 Lenovos nye lækre bærbare computer er en ekstrem letvægter - vejer lidt over 900 gram
    7 Myndighed stopper AI-satsning fra Thorborg: Dinero trækker AI-assistent tilbage
    8 Ransomware-angreb mod it-leverandør rammer flere danske kommuner: Persondata om børn er stjålet

    Se seneste uge