Lenovo heeft vorige maand drie kwetsbaarheden in de Systeemupdatetool verholpen waardoor computers aan een "groot beveiligingsrisico" werden blootgesteld, zo stellen de onderzoekers van IOActive die de problemen (pdf) ontdekten. Via Systeemupdate kunnen gebruikers systeemupdates uitvoeren.

Een kwetsbaarheid in de service van de updatetool zorgde ervoor dat een kwaadwillende gebruiker willekeurige code met systeemrechten kon uitvoeren. Om toegang tot de service door gebruikers te voorkomen werd er gewerkt met een beveiligingstoken. Het token bleek echter voorspelbaar te zijn, waardoor een gebruiker een geldig token kon genereren en gebruiken om de service willekeurige code met systeemrechten uit te laten voeren.

Het tweede probleem dat de onderzoekers met de updatetool ontdekten was dat een aanvaller legitieme applicaties door kwaadaardige applicaties kon vervangen. Systeemupdate downloadt bestanden via internet. Lenovo zorgde ervoor dat deze bestanden gesigneerd zijn, maar de controle van de gesigneerde bestanden was niet volledig. Daardoor was het mogelijk om kwaadaardige bestanden aan de Systeemupdatetool aan te bieden die gewoon werden geaccepteerd. Deze aanval zou volgens de onderzoekers door lokale en mogelijk ook door aanvallers op afstand kunnen worden uitgevoerd.

Als laatste verhielp Lenovo een probleem waardoor een lokale gebruiker willekeurige code met beheerdersrechten kon uitvoeren. De Systeemupdatetool bleek gedownloade bestanden in een directory uit te voeren die voor alle gebruikers benaderbaar en schrijfbaar waren. Een lokale aanvaller kon wachten totdat Systeemupdate de digitale handtekening van een bestand had gecontroleerd, om vervolgens dit bestand door een kwaadaardig bestand te vervangen dat dan ook werd uitgevoerd met beheerdersrechten. Na te zijn ingelicht in februari heeft Lenovo vorige maand alle problemen verholpen.