Kritische Sicherheitslücke in Lenovos Solution Center
Das auf vielen Produkten der Lenovo Think– und Idea-Reihe vorinstallierte Lenovo Solution Center (LSC) erlaubt dem Nutzer normalweise, mit Diagnosefunktionen den Status von Hard- und Software des Systems zu untersuchen. Dazu gehört auch die Prüfung auf die erfolgreiche Installation von Firewalls, Virenscannern, Treiberupdates etc. Die Software muss aus diesen Gründen mit Administratorrechten laufen. Vergangene Woche wurde eine Sicherheitslücke im LSC selbst bekannt, die Angreifern das Ausführen von Schadcode ermöglicht.
Das Pikante daran: Auch wenn das Lenovo Solution Center nicht ausgeführt wird, ist dennoch der Hintergrunddienst „LSCTaskService“ aktiv. Dieser ist über spezielle bösartige Websites angreifbar. Es genügt im Zweifel also „die falsche“ Website aufzurufen und schon ist der Rechner infiziert.
Update schafft Abhilfe
Die Gefahr lässt sich für die betroffenen Nutzer glücklicherweise leicht bannen: Startet einfach das Lenovo Solution Center und nutzt die Auto-Update-Funktion. Das Lenovo Solution Center sollte damit automatisch auf Version 3.3.002 aktualisiert werden – diese ist nicht mehr angreifbar.
Dies ist bereits die zweite kritische Sicherheitslücke in Lenovos Solution Center – wollen wir hoffen, dass es die letzte war. Nichtsdestotrotz sei an dieser Stelle noch einmal an die Cyberbloc-Artikelreihe rund ums Thema Backup erinnert. Damit beugt ihr Datenverlust bei Infektion des Rechners vor.
