Lenovo-Tool mit Sicherheitslücke – jetzt muss es weg

Schon im Frühjahr 2016 war eine schwerwiegende Sicherheitslücke im Lenovo Solution Center entdeckt worden. Der Hersteller hat dieses Tool jahrelang auf den meisten ThinkPad-Notebooks und sonstigen mit Windows ausgelieferten Geräten ab Werk vorinstalliert. Die damals entdeckte Sicherheitslücke erlaubte es einem Angreifer, Fernzugriffsprivilegien zu ergattern.

Wie das britische Portal The Register schreibt , ist kürzlich eine weitere hochkritische Sicherheitslücke entdeckt worden – schon wieder im Lenovo Solution Center. Sie trägt die Nummer CVE-2019-6177 . Aufgrund dieser Lücke wäre es einem lokalen Angreifer sogar möglich, sich auf dem damit ausgestatteten Gerät Administratorrechte zu verschaffen.

Das Problem ist auch diesmal nicht nur die Sicherheitslücke selbst, sondern Lenovos Umgang damit. Zwar betrifft sie ein Tool, dessen «End of life» inzwischen erreicht ist. Laut einem Screenshot der Entdecker der Lücke (pentestpartners.com) habe Lenovo das Support- bzw. Lebensende des Lenovo Solution Center (LSC) ursprünglich auf den 30. November 2018 gelegt, also etwa sechs Wochen nach Erscheinen des letzten Updates, siehe Screenshot.

Vor Bekanntwerden der neusten Sicherheitslücke lag das «End of Life» fürs LSC Ende November 2018 Quelle: PCtipp $('.magnificPopup').magnificPopup({
type: 'image'
});

Kaum war die neuste Sicherheitslücke bekannt, habe Lenovo auf der Webseite das Lebensende des Produkts auf das dort jetzt ersichtliche Datum vorverlegt, nämlich auf April 2018. Das ist interessanterweise ein halbes Jahr vor Erscheinen des letzten Updates, was unlogisch wirkt. Laut The Register wirft das die Frage auf, ob Lenovo damit versuchte, das Programm noch älter und das Problem damit kleiner erscheinen zu lassen.

Wie kann das «End of life» eines Produkts mehrere Monate vor dessen letztem Update liegen? Quelle: PCtipp $('.magnificPopup').magnificPopup({
type: 'image'
});

Deinstallieren Sie das Lenovo Solution Center

Schon als vor drei Jahren die erste Sicherheitslücke im Solution Center (LSC) aufgetaucht ist, haben wir den Nutzern empfohlen, das Tool zu deinstallieren. Es würde auch ohne Sicherheitslücke zur Kategorie Bloatware zählen; zur Art der vom Hersteller vorinstallierten Software, die dem Anwender nichts nützt, bestenfalls Ärger macht und das System belastet.

Diese Empfehlung können wir nur wiederholen: Falls Sie ein Lenovo-Gerät mit Windows haben, öffnen Sie die Systemsteuerung und darin Programme/Programme und Features . Durchforsten Sie die Liste der installierten Anwendungen. Sollten Sie das Lenovo Solution Center antreffen, klicken Sie es an und benutzen Sie Deinstallieren bzw. Entfernen . Sie können es ersatzlos streichen.

Die allermeisten vorinstallierten eigenen Programme der PC- und Notebook-Hersteller lassen sich ohne Nachteil problemlos deinstallieren.

Nicht das erste Sicherheitsproblem

Auf Lenovos Kerbholz punkto Sicherheitslücken sammeln sich die Striche schon seit ein paar Jahren. Nicht nur für Empörung, sondern auch für Geldstrafen sorgte etwa der Fall «Superfish». Anfang 2015 war bekannt geworden, dass Lenovo diese Adware auf den Geräten vorinstalliert hatte. Sie blendete nicht nur Werbung ein, sondern gefährdete auch verschlüsselte Verbindungen der Benutzer (PCtipp berichtete).

Im Mai desselben Jahres fand man zudem in Lenovos ebenfalls auf Laptops vorinstalliertem ThinkVantage-Tool eine mittelschwere Sicherheitslücke (siehe PCtipp-Meldung vom 7.5.2015 ). Nur etwa ein Jahr später wurde die eingangs beschriebene schwere Sicherheitslücke im Lenovo Solution Center erstmals bekannt (PCtipp berichtete am 10.5.2016).

LEAVE A REPLY

Please enter your comment!
Please enter your name here