Lenovo z varnostno luknjo

Objavljeno: 7.5.2015 14:00 | Teme: varnost, Lenovo

Tri mesece po tem, ko se je Lenovo, največji svetovni proizvajalec računalnikov, znašel na tapeti zaradi »oglasnega« programa Superfish, ki so ga nameščali na svoje računalnike, so raziskovalci varnostnega podjetja IOActive objavili novo nevarno varnostno luknjo v programski opremi Lenovo. Prisotna je (bila) v vseh računalnikih ThinkPad, ThinkCentre, ThinkStation in Lenovo V/B/K/E.

Program za nadgrajevanje prednameščenih programov Lenovo je namreč mogoče prepričati, da legitimne Lenovo programe zamenja s kompromitiranimi in sicer zato, ker je mogoče ustvariti ustrezen varnostni certifikat in z njim podpisati nove programe. V praksi bi bilo mogoče varnostno luknjo izrabiti, če bi uporabnik računalnika Lenovo sprožil nadgradnjo v kiber kavarni (zato se takemu napadu reče "classic coffee shop attack"). Tam bi napadalec zahtevek prestregel in programu za nadgrajevanje ponudil svoje programe, podpisane s ponarejenim certifikatom.

Raziskovalci so Lenovo o odkritju obvestili že pred časom in mu tako dali čas, da so pripravili popravek, ki omenjeno napako zakrpa. Uporabniki, ki so sistemu dovolili avtomatsko nadgrajevanje, so tako že zaščiteni. 

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki