Меньше трёх месяцев прошло с момента скандала с рекламным приложением Superfish на компьютерах Lenovo, а китайский производитель уже успел попасть в новую историю. Специалисты компании IOActive Майкл Милвич и Софман Талмат обнаружили сразу три уязвимости к инструменте обновления под названием System Update.
Одна уязвимость разрешает дистанционные и локальные атаки с заменой доверенных приложений Lenovo на поддельные, которые могут запускаться с повышенными полномочиями. Ещё одна уязвимость даёт локальным пользователям возможность выполнять команды с правами администратора.
IOActive, прежде чем делать свои открытия достоянием общественности, поставила в известность представителей Lenovo, и в прошлом месяце было выпущено закрывающее уязвимости обновление приложения. Его рекомендуется установить на версию System Update 5.6.0.27 или более ранние. Другие вариантом является простая переустановка операционной системы Windows без приложений от Lenovo.
Проверить версию можно, открыв Lenovo System Update, нажав зелёный знак вопроса в правом верхнем углу и выбрав раздел About. Уязвимости относятся к компьютерам Lenovo серий ThinkPad, ThinkCenter, ThinkStation, B, E, K и V.