Auf PCs und Laptops vom Hersteller vorinstallierte Software ist manchmal nützlich, manchmal aber auch gefährlich: System-Update-Tools können zur Trojaner-Schleuse werden. Aktuell müssen sich Nutzer des Lenovo Solution Center um ein Update kümmern.
Schon im Frühjahr kamen Sicherheitslücken in der auf Lenovo-Rechnern vorinstallierten Adware Superfish ans Licht. Im Mai wurde dann bekannt, dass Angreifer über eine auf ab Werk installierte Service-Software den Rechner übernehmen konnten: Das Tool ThinkVantage System Update dient unter anderem zum leichteren Installieren von Treiber- und BIOS-Updates. Immerhin waren die seinerzeit gefundenen Lücken nur schwer auszunutzen, weil sich der Angreifer in die Verbindung zwischen dem PC und den Lenovo-Servern hätte hacken müssen.
Offenbar ist nun auch die Service-Software-Variante Lenovo Solution Center (LSC) betroffen: Eine neue LSC-Version soll mehrere Lücken ausbessern. Wiederum konnten Angreifer laut Hersteller System-Rechte erlangen und so eigene Programme auf den anfälligen Maschinen mit Admin-Privilegien ausführen. Kritisch daran ist, dass eine der Lücken diesmal auch über Cross-Site Request Forgery (CSRF) auszunutzen sei. Damit sind Angriffe auch aus der Ferne über kompromittierte Websites erfolgversprechend. Es genügt, dass der Anwender auf einen harmlos aussehenden Link in einer Phishing-Mail klickt. Wer LSC auf einem Lenovo-PC betreibt, sollte es deshalb unbedingt auffrischen.