Lenovo parece estar teniendo un mal año, no ha pasado mucho tiempo desde que el mayor proveedor de PC fue infectado en sus ordenadores portátiles por el adware «Superfish»,
Y ahora estamos conociendo algunas nuevas vulnerabilidades encontradas en sus ordenadores. La buena noticia es que Lenovo tiene el parche listo y se puede descargar de inmediato.
La empresa de seguridad IOActive informa de vulnerabilidades en el archivo de actualización del sistema de Lenovo. En un informe titulado «Actualización del sistema de Lenovo utiliza un identificador de seguridad predecible», las vulnerabilidades podrían permitir a los hackers eludir los controles de validación, y reemplazar aplicaciones de Lenovo legítimos con programas maliciosos y permitan ejecutar de forma remota algunos programas.
«Comandos arbitrariamente enviados por un usuario sin privilegios malicioso representa un riesgo de seguridad enorme. Lenovo no intenta restringir el acceso al servicio de actualización del sistema a clientes con token, dice la compañía.
«Desafortunadamente este token es una muestra predecible y puede ser generado por cualquier usuario sin necesidad de permisos elevados. Como resultado, un atacante sin privilegios puede realizar las mismas operaciones de actualización del sistema. El atacante puede crear un token válido e incluirlo con un comando a ejecutar. El SUService.exe entonces ejecutará un comando como usuario SYSTEM «.
IOActive notificó a Lenovo con respecto a estas vulnerabilidades en febrero, y el fabricante del equipo lanzó un parche para abril . En una comunicación Lenovo dijo que los usuarios serán notificados acerca de esta actualización y alternativamente, podran descargar el parche de forma manual desde la página web de la compañía. En una declaración a BetaNews, la compañía insta a los usuarios a actualizar sus equipos. «Lenovo anima a sus usuarios a mantener sus sistemas actualizados al permitir actualizaciones automáticas que se ejecuten cuando se solicite».
Si usted tiene una PC de Lenovo, se aconseja instalar la última actualización que reemplaza el método de autenticación del token. Está disponible a través de la actualización del sistema. Como alternativa, puede descargarlo desde aquí .