In PC’s van Lenovo zijn opnieuw beveiligingslekken gevonden. Aanvallers kunnen hierdoor eigen software op een machine installeren.

Drie maanden geleden werd bekend dat een aantal producten van de fabrikant al in de fabriek besmet waren met Superfish-adware. Dit keer heeft veiligheidsbureau IOActive enkele flinke zwakke plekken gevonden in het updatesysteem van Lenovo. Via een van de lekken is het volgens onderzoekers van IOActive mogelijk voor aanvallers om een vals certificaat te creëren voor het ondertekenen van programma’s. Hackers zijn daardoor in staat validatiecontroles te omzeilen om zo legitieme programma’s te vervangen met kwaadaardige software.
Het beveiligingsgat, samen met andere kwetsbaarheden beschreven door IOActive, zijn te vinden in de Lenovo System Update 5.6.0.27 en eerdere versies. Vorige maand is vrij snel en adequaat een patch van Lenovo verschenen om de bugs weg te halen. Eigenaars van een Lenovo-product wordt aangeraden de veiligheidsupdate zo snel mogelijk te downloaden.