Rủi ro an ninh trong phần mềm Lenovo System Update

IOActive là hãng bảo mật đầu tiên thông báo lỗ hổng này với Lenovo, ngoài ra cũng đăng tải một báo cáo với tựa đề “System Update của Lenovo sử dụng token an ninh có thể đoán được”. Trong báo cáo của IOActive có các thảo luận về cách thức mà tin tặc có thể thông qua khâu kiểm tra xác nhận, từ đó thay thế những phần mềm Lenovo hợp pháp bằng chương trình độc hại, đồng thời cho phép tin tặc kích hoạt chương trình từ xa.

Các lệnh tự thực thi được gửi từ người dùng không xác thực mang lại những rủi ro an ninh rất cao. Lenovo tiến hành hạn chế những truy cập đến System Update Service (dịch vụ cập nhật hệ thống) bằng cách yêu cầu phải xác thực bằng token an ninh nhằm hạn chế các máy con khác hoặc tin tặc cố gắng gửi những mã lệnh độc hại tự thực thi vào máy tính người dùng. Không may là các token an ninh này có thể đoán biết được và hoàn toàn có thể được tạo ra một cách dễ dàng mà không cần quyền truy cập mức độ cao vào hệ thống.

Từ lỗ hổng này mà các tin tặc có thể tấn công bằng cách thực hiện tương tự như System Update chính hãng. Tin tặc tạo ra một token có hiệu lực, tích hợp nó vào mã lệnh độc hại, làm cho System Update của Lenovo tin tưởng vào mã lệnh độc có kèm token và thực thi nó với quyền hệ thống. Tin tặc từ đó kích hoạt và chiếm quyền điều khiển hay ăn cắp dữ liệu.

IOActive phát hiện ra lỗ hổng bảo mật này vào tháng 2 vừa qua, tuy nhiên hãng cũng chỉ tiến hành công bố rộng rãi sau khi Lenovo đã có đủ thời gian để sửa chữa và đưa ra bản vá. Lenovo đã cung cấp phiên bản System Update mới vào tháng trước, và nếu bạn đang sử dụng phần mềm này, hãy kiểm tra và cập nhật ngay nếu như phiên bản System Update là 5.6.0.27 hoặc cũ hơn. 2015 có vẻ là một năm khó khăn với Lenovo khi hãng liên tục gặp các vấn đề về bảo mật, gần đây nhất là adware Superfish cài sẵn trong laptop của mình.

Video đang hot
Dàn sao Hàn đổ bộ sân bay Tân Sơn Nhất: "Lee Hyori thế hệ mới" gặp sự cố mất đồ, Super Junior gây náo loạn

"Lee Hyori thế hệ mới" Chungha và Super Junior đã có mặt tại sân bay TP.HCM vào trưa nay để chuẩn bị cho...

Kim Chungha Super Junior

Vụ triệt phá đường dây ma tuý "khủng" ở Sài Gòn: Một tài xế taxi được trả 1,2 triệu để dẫn đường cho xe tải đến kho hàng

Tài xế taxi Nguyễn Đình Hồng (SN 1989, quê Thanh Hóa) được người đàn ông quốc tịch Đài Loan trả 1,2 triệu...

Ma túy người Đài Loan

Đạo diễn "Us" thẳng thừng tuyên bố: "Diễn viên da trắng "không có cửa" đóng chính cho tôi đâu"

Từ "Get Out" đến "Us" và nhiều dự án khác trong tương lai, người da màu sẽ luôn là trung tâm câu chuyện...

us chúng ta

Án phí vụ ly hôn vợ chồng Trung Nguyên: Chủ tọa mệt nên đọc nhầm 8 tỷ thành 81 tỷ

Theo đối chiếu với quy định của pháp luật về án phí dân sự sơ thẩm, mức án phí của vụ tranh chấp ly hôn...

Đặng Lê Nguyên Vũ lê hoàng diệp thảo

Lý do khiến Lisa (Black Pink) trở thành em gái quốc tế: Đẹp như búp bê sống, siêu tài năng nhưng gia thế mới gây sốc

Không phải bỗng nhiên Lisa lại trở thành hiện tượng, nhận được nhiều tình cảm yêu mến từ người hâm mộ khắp...

Blackpink sinh nhật sao

Cho học sinh đóng cảnh ân ái khi tái hiện tác phẩm văn học trên sân khấu, thầy giáo ở TP HCM bị đình chỉ dạy

2 phân cảnh nhân vật Tám Bính bị hãm hiếp và Tuyết ân ái với Xuân Tóc Đỏ đã khiến thầy Đạt bị nhà trường...

cảnh ân ái Tác phẩm văn học

Xôn xao clip cô gái trẻ bị nhiều phụ nữ lột váy, tát tới tấp vào mặt: "Mày dám bảo chị tao không biết giữ chồng à?"

Một cô gái trẻ xinh đẹp bị nhóm phụ nữ lao vào giật tóc, đạp ngã xuống đường rồi lột váy, tát tới tấp vào...

Quan hệ bất chính đánh ghen