Radar da Web




Lenovo corrige falhas críticas de segurança em ferramenta de PCs



Publicado em 01/12/2015 |

#seguranca



FacebookGoogle+LinkedInTwitterE-mail

Lenovo corrige falhas críticas de segurança em ferramenta de PCs

Pela terceira vez em menos de seis meses, problemas de segurança forçaram a Lenovo a atualizar uma das ferramentas pré-carregadas em seus PCs.

Na semana passada, a empresa liberou a versão 5.07.0019 do Lenovo System Update, uma ferramenta que ajuda os usuários a manter os drivers e BIOS dos seus computadores atualizados e que já foi chamada de ThinkVantage System Update. A nova versão corrige duas vulnerabilidades de escalação de privilégio descobertas por pesquisadores da empresa de segurança IOActive.

Uma delas fica localizada no sistema de ajuda da ferramenta e permite que os usuários contas limitadas do Windows iniciem um caso do Internet Explorer com privilégios de administrador ao clicar em URLs nas páginas de ajuda. Isso porque o próprio Lenovo System Update roda sob uma conta temporária de administrador que o aplicativo cria quando é instalado. Assim qualquer processo que ele inicia vai rodar sob a mesma conta.

“A partir daí, um invasor sem privilégios tem muitas maneiras de explorar o navegador rodando sob privilégios de administrador para aumentar os seus privilégios para Administrator ou SYSTEM”, afirma a IOActive.

A segunda vulnerabilidade também está relacionada à conta temporária de administrador e particular à maneira pela qual o nome e a senha são gerados.

Outros casos

O Lenovo System Update recebeu outros dois patches de segurança em 2015: um em julho e outro em outubro. Essas atualizações corrigiram vulnerabilidades que poderiam permitir que invasores executassem comandos por meio da aplicações ou substituíssem updates legítimos por malware.


Fonte: idgnow.com.br

Leia também


Comentários

Nenhum comentário enviado. Seja o primeiro a comentar, clique aqui

Copyright © 2013/2017 Radar da Web. Todos os direitos reservados.
Topo