Nέο σοβαρό πρόβλημα ασφαλείας εντοπίστηκε σε λογισμικό που συνοδεύει τους υπολογιστές της Lenovo και συγκεκριμένα στην εφαρμογή System Update.
Αν και σχετικό patch έχει βγει από τον Απρίλιο, η πλειοψηφία των χρηστών όμως δεν έχει αναβαθμίσει. Η Lenovo αποδεχόμενη το πρόβλημα, καλεί τους κατόχους υπολογιστών Lenovo να αναβαθμίσουν άμεσα.
Lenovo Security Advisory: LEN-2015-011
Potential Impact: Execution of arbitrary code
Severity: Medium
Summary:
Multiple vulnerabilities have been identified within Lenovo System Update (previously known as ThinkVantage System Update). Lenovo has released a new version of the Lenovo System Update software that addresses these vulnerabilities.
Description:
Lenovo System Update validates all system update files as they are downloaded from the Lenovo servers. However, if the local system contains malware, it is possible that the downloaded updates could be altered before installation creating a race condition. The latest Lenovo System Update release eliminates this possibility.
Lenovo System Update uses a service called SUService.exe to run system updates. As part of the authentication and validation process the service only accepts commands if a valid security token is passed along with the command. Vulnerabilities were discovered on how the security tokens were generated allowing an attacker to run commands. The latest Lenovo System Update release fixes the token authentication flaws.
Other security issues were also addressed in this update.
Mitigation Strategy for Customers (what you should do to protect yourself):
Starting from April 1, 2015, run Lenovo System Update and install the latest version of the application, version 5.06.0034 or later. You can determine the currently installed version by opening Lenovo System Update, clicking on the green question mark in the top right corner and then selecting “About.”
Steps to update:
Lenovo System Update automatically checks for a later version whenever the application is run. Click OK when prompted that new version is available.
To manually update, download the latest version from the following URL.
Product Impact:
The following products may be impacted:
All ThinkPad
All ThinkCentre
All ThinkStation
Lenovo V/B/K/E Series
Acknowledgements:
Lenovo would like to thank Michael Milvich and Sofiane Talmat of IOActive for reporting these issues.
Other information and references:
CVE ID: CVE-2015-2219, CVE-2015-2233, CVE-2015-2234
http://www.ioactive.com/labs/advisories.html
Πηγή : BBC
Εμφάνιση 1-7 από 7
-
07-05-15, 12:51 Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #1
Haunted by your grace you know I'm falling
Administrator
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.582
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
07-05-15, 16:27 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #2
Eminent Member
- Εγγραφή
- 17-09-2006
- Περιοχή
- Σαλόνικα City - Αγ. Παύλος
- Ηλικία
- 39
- Μηνύματα
- 2.739
- Downloads
- 22
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 1Gbps/1Gbps
- ISP
- Inalan
- Router
- ZTE F6600P
- SNR / Attn
- ~(dB) / ~(dB)
η καλή η σαβούρα bloatιλα των κατασκευαστών.
βρε ουστ.
"εμπρός λαέ, μη σκύβεις το κεφάλι, ο μόνος δρόμος είναι,φορμάτ ξανά και πάλι"
-
08-05-15, 00:27 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #3
Frequent Member
- Εγγραφή
- 18-10-2007
- Περιοχή
- San Marcos, CA. USA
- Ηλικία
- 40
- Μηνύματα
- 331
- Downloads
- 3
- Uploads
- 0
- Τύπος
- Cable
- Ταχύτητα
- 25310/2036
- ISP
- at&t
- Router
- 2wire 3801 HGV
- SNR / Attn
- 15.7(dB) / 20.7(dB)
Να φανταστώ ότι δεν το είχε αντιληφθεί πάλι;
http://www.adslgr.com/forum/threads/...81%CE%B9%CE%BFWhat is real? How do you define real? If you're talking about what you can feel, what you can smell, what you can taste and see, then real is simply electrical signals interpreted by your brain!
-
10-05-15, 20:19 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #4
Expert Member
- Εγγραφή
- 15-07-2005
- Περιοχή
- Θεσσαλονίκη
- Μηνύματα
- 1.651
- Downloads
- 18
- Uploads
- 0
- Τύπος
- ADSL2+
- Ταχύτητα
- 13481/1020
- ISP
- Forthnet
- Router
- Thomson TG585v7
Το συγκεκριμένο εργαλείο είναι πολύ βολικό και χρήσιμο πάντως, σίγουρα δεν ανήκει στα bloatware της εταιρείας.
-
10-05-15, 20:30 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #5
Strange Visitor From Another Planet
- Εγγραφή
- 25-07-2006
- Περιοχή
- Edenoi
- Ηλικία
- 39
- Μηνύματα
- 4.938
- Downloads
- 7
- Uploads
- 0
- Τύπος
- ADSL2+
- Ταχύτητα
- 17104 down / 1022 up
- ISP
- Vodafone
- Router
- TD-W8960N V8
- SNR / Attn
- 5.8(dB) / 21(dB)
- Path Level
- Interleaved
Για αυτό άμεσα μετά την αγορά πρέπει να κάνεις φορμάτ και εγκατάσταση των Windows από την αρχή με καθαρό δισκάκι και χωρίς τα περιττά προγράμματα. Εγώ προσωπικά σβήνω ακόμη και το recovery partition το οποίο από μόνο του καταναλώνει αρκετά GB από τον σκληρό δίσκο. Αν θέλω να έχω recovery για παν ενδεχόμενο δημιουργώ ένα μετά την καθαρή εγκατάσταση. Μόνο έτσι είσαι σίγουρος για το τι υπάρχει στον υπολογιστή σου.
My adslgr.com account password is the last 7 digits of π. No hackers so far.
Hello, I'm Death. You may be familiar with my Blue Screen.
-
10-05-15, 20:44 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #6
aDSLgr Addict
- Εγγραφή
- 05-05-2009
- Περιοχή
- Παλαιό Φάληρο
- Μηνύματα
- 13.354
- Downloads
- 0
- Uploads
- 0
- Ταχύτητα
- FTTH Φως το αληθ
- ISP
- OTE
- Router
- Fritz 7590
Ti πρόβλημα έχεις με τα win ? Δύο lenovo στην οικογένεια (thinkpad , g560) μια χαρά είναι: το ένα με kubumtu, το άλλο με debian
Αρχικό μήνυμα από goku
BTW πολύ βολικό το system/bios update σε thinkpad. Αν μπρικάρει το πας αντιπροσωπεία και τους γκρινιάζεις.
-
10-05-15, 20:48 Απάντηση: Σοβαρό κενό ασφαλείας στο System Update utility της Lenovo #7
Strange Visitor From Another Planet
- Εγγραφή
- 25-07-2006
- Περιοχή
- Edenoi
- Ηλικία
- 39
- Μηνύματα
- 4.938
- Downloads
- 7
- Uploads
- 0
- Τύπος
- ADSL2+
- Ταχύτητα
- 17104 down / 1022 up
- ISP
- Vodafone
- Router
- TD-W8960N V8
- SNR / Attn
- 5.8(dB) / 21(dB)
- Path Level
- Interleaved
Εγώ προσωπικά έχω dual boot με Linux Mint, και έχω επίσης Linux Mint εγκατεστημένα σε Vmware σε περίπτωση που βαριέμαι να κάνω επανεκκίνηση. Αλλά από την στιγμή που έχεις αγοράσει υπολογιστή με νόμιμα Windows (εκτός αν δεν έχεις αγοράσει, οι περισσότεροι όμως αγοράζουν), είναι κρίμα να μην τα κρατήσεις, ουσιαστικά πάει τσάμπα το κλειδάκι. Όσον αφορά το θέμα, ποιος κρατάει το bloatware της κάθε εταιρίας; Καλύτερα φορμάτ και καθαρή εγκατάσταση και έχεις το κεφάλι σου ήσυχο. Αρχικό μήνυμα από dimitri_ns
Ti πρόβλημα έχεις με τα win ? Δύο lenovo στην οικογένεια (thinkpad , g560) μια χαρά είναι: το ένα με kubumtu, το άλλο με debian
BTW πολύ βολικό το system/bios update σε thinkpad. Αν μπρικάρει το πας αντιπροσωπεία και τους γκρινιάζεις.My adslgr.com account password is the last 7 digits of π. No hackers so far.
Hello, I'm Death. You may be familiar with my Blue Screen.
ΠαράθεσηΠαρόμοια Θέματα
-
Κενό ασφαλείας στο Android εκθέτει σε κίνδυνο την πλειοψηφία των χρηστών του
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 11Τελευταίο Μήνυμα: 30-07-14, 20:41 -
Σοβαρό κενό ασφαλείας εντοπίστηκε στην μηχανή προστασίας από κακόβουλο λογισμικό της Microsoft
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 15Τελευταίο Μήνυμα: 22-06-14, 12:58 -
Νέο σοβαρό κενό ασφαλείας εντοπίστηκε στο OpenSSL
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 55Τελευταίο Μήνυμα: 17-06-14, 01:33 -
Σοβαρό κενό ασφαλείας στο OpenSSL
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 75Τελευταίο Μήνυμα: 05-06-14, 19:04 -
Με έκτακτη αναβάθμιση που καλύπτει και τα Windows XP η Microsoft κλείνει το σοβαρό κενό ασφαλείας του Internet Explorer
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 38Τελευταίο Μήνυμα: 26-05-14, 23:44
Bookmarks