25 Lenovo notebook-modeller er sårbare over for ondsindede angreb, der kan deaktivere UEFIs bootproces og derefter køre usignerede UEFI-apps eller indlæse bootloadere. Det skriver Ars Technica på baggrund af en melding på Twitter fra sikkerhedsvirksomheden ESET.
Tweetet kommer (i det der ligner en koordineret kommunikationsindsats), samtidig med at Lenovo har udgivet sikkerhedsopdateringer til 25 modeller, herunder ThinkPads, Yoga Slims og IdeaPads.
Computerproducenten Lenovo har udsendt en sikkerhedsbulletin for at advare om flere alvorlige BIOS-sårbarheder, der påvirker hundredvis af enheder i de forskellige modeller. Det drejer sig om Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem.
Det skriver Bleeping Computer.
Hvis fejlene udnyttes kan det medføre kompromittering af fortrolighed, eskalering af privilegier, denial of service og afvikling af vilkårlig kode ’under visse omstændigheder’, som det hedder.
Lenovo har udsendt rettelser, som lukker for BlueBorne-sårbarhederne, der efterhånden har eksisteret i ni måneder.
Lenovo er verdens 3. største producent af Andriod-baserede tablet-computere, og det er netop denne gruppe, blandt andet tre Yoga-modeller, der er mål for rettelserne.
Lenovo fortæller selv til Threatpost at med denne omgang rettelser, skulle alle firmaets modeller være beskyttet.
Ifølge en advarsel fra Lenovo har nogle eksemplarer af ThinkPad X1 Carbon en løs skrue. Den kan skade batteriet, så det overophedes og måske bryder i brand.
De sårbare enheder er produceret mellem december 2016 og oktober 2017. Kun laptops med disse maskintyper er berørt: 20HQ, 20HR, 20K3 og 20K4.
Alene i Nordamerika er der solgt over 80.000 ThinkPad X1 Carbon-laptops.
Anbefaling
Tjek om jeres laptops er berørt. Kontakt i givet fald forhandleren.
Lenovo Fingerprint Manager Pro gør det muligt at logge ind på en Lenovo-pc ved hjælp af et fingeraftryk. For at kunne gøre det opbevarer programmet blandt andet brugerens brugernavn og password i krypteret form.
En sikkerhedsforsker har opdaget, at programmet anvender en svag form for kryptering. Endvidere findes der et standardpassword, som kan give enhver bruger af pc'en adgang til data. Dermed kan en almindelig bruger finde frem til brugernavn og password for administratorbrugere.
En angriber skal have adgang til pc'en for at kunne udnytte sårbarheden.
Lenovo Service Framework er en Android-applikation, der bruges af en række apps på enheder fra Lenovo. Applikationen formidler beskeder fra Lenovo-servere til apps.
Sikkerhedsforsker Imre Rad har fundet fire sikkerhedshuller i Lenovo Service Framework. De giver angribere mulighed for at afvikle skadelige programmer på enheden.
Lenovo har udsendt opdateringer til alle firmaets tablet-computere, samt til VIBE- og ZUK-smartphones og Moto M (XT1663) og Moto E3 (XT1706).
Fejlene er rettet i Lenovo Service Framework v4.8.0.2403.
