El software del Centro de soluciones de Lenovo (LSC) siempre ha sido un problema y no aparece si los problemas terminan pronto: se ha localizado una nueva vulnerabilidad en el software que puede causar riesgos de seguridad.
La vulnerabilidad podría permitir a los atacantes con acceso a la red local del ordenador de un usuario ejecutar lo que se conoce como código arbitrario, según investigadores de Trustwave SpiderLabs . Los atacantes pueden usar la falla para elevar ciertos privilegios que están ligados al backend de LSC. Esto abre la puerta para que los hackers engañen a LSC para que ejecute código arbitrario directamente en el sistema local, según Karl Sigler, un investigador de SpiderLabs en Trustwave.
Esto podría convertirse en un problema importante para Lenovo, ya que su software LSC está instalado en casi todas sus computadoras modernas. El software actúa como un tablero para monitorear la salud del sistema, entre otras cosas, por lo que sin duda será utilizado por muchos que no son conscientes de las fallas.
«Al convencer a un usuario que ha lanzado el Centro de soluciones de Lenovo para que vea un documento HTML especialmente diseñado[como] una página web o un mensaje o archivo adjunto de correo electrónico HTML, un atacante puede ejecutar código arbitrario con privilegios SYSTEM» explicó una nota del CERT patrocinado por el DHS en el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon.
Lo que estamos viendo aquí es el último fallo de una larga lista de otros que se produjeron el año pasado. Se ha convertido en costumbre para uno ver el software LSC como un riesgo de seguridad similar al de Java y Flash. Si Lenovo no rectifica el problema, probablemente perjudicará los resultados de la empresa en el futuro. Lenovo es uno de los principales fabricantes de PC, un título que puede desaparecer en cualquier momento si no se realizan cambios.
Afortunadamente, Lenovo publicó una corrección para poner fin al riesgo de ataques de fuentes externas. Puede descargarse a la derecha aquí desde el sitio web oficial de la empresa. Tenga en cuenta que sólo las personas que usan Windows 7, Windows 8, Windows 8.1 y Windows 10 serán elegibles para obtener la actualización, ya que LSC no está disponible para otras plataformas.
Recientemente, la compañía tuvo que lanzar actualizaciones para mejorar sus aplicaciones acompañantes para Windows 10 con la esperanza de que sus muchos usuarios dejaran de dejar clasificaciones terribles.