Universidad Veracruzana

Skip to main content
Universidad Veracruzana

Noti_infosegura: Lenovo corrige vulnerabilidades en el servicio de actualizaciones

Lenovo corrige varios fallos en el servicio de actualizaciones de sus PC

Lenovo, sobre Superfish: “Podríamos haber hecho más”

Después de los fallos de seguridad admitidos por Dell, ahora es la chinaLenovo la que ha lanzado una nueva actualización (la tercera en menos de seis meses) de una herramienta precargada que permite tener sus PC a la última versión de la BIOS, drivers y otras funciones clave.

Así pues, la pasada semana, la compañía lanzó la versión 5.07.0019 de Lenovo System Update, anteriormente conocida bajo la denominación de ThinkVantage System Update. La nueva versión corrige dos vulnerabilidades descubiertas por investigadores de la empresa de seguridad IOActive y que podían permitir a un atacante acceder a cualquier equipo Lenovo con permiso de administrador, ejecutando así cualquier código malicioso en el dispositivo.

Una de las vulnerabilidades se encuentra en el sistema de la ayuda de la herramienta y permite a usuarios con cuentas de Windows limitadas (es decir, no administradores) iniciar una instancia de Internet Explorer con privilegios de administrador al hacer clic en las direcciones URL de las páginas de ayuda.

Lenovo investiga la seguridad de un software que instalaba de serie en algunos modelos de PC

Ello es posible porque Lenovo System Update se ejecuta bajo una cuenta de administración temporal que la aplicación crea cuando se instala, por lo que cualquier proceso que se inicie a partir de ella se ejecutará bajo la misma cuenta.

Otra vulnerabilidad ligada a la generación de usuarios y contraseñas

La segunda vulnerabilidad detectada en la aplicación de Lenovo está relacionada con la forma en que se genera el nombre y contraseña de la ya mencionada cuenta de administrador temporal.

US-IT-TABLET-CHINA-LENOVO

El nombre de usuario sigue el patrón tvsu_tmp_xxxxxXXXXX, donde cada x minúscula es una letra minúscula generada aleatoriamente y cada mayúscula X es una letra mayúscula generada aleatoriamente. Sin embargo, la función que se supone debe elegir al azar las letras está ligada a la hora actual, por lo que puede predecirse con facilidad por parte de un hacker. Una vez adivinada la combinación correcta, el hacker puede entrar en el equipo con total impunidad sin ser detectado por el usuario.

 

Fuente: http://www.ticbeat.com/seguridad/

Fecha de consulta: 26 Noviembre 2015

Ubicación

Rectoría.
Lomas del Estadio SN.
Col. Zona Universitara.
Xalapa, Veracruz.

(228) 8 421700, Ext. 11532

Transparencia
Transparencia
Información financiera presupuestal Gobierno Abierto Avisos de Privacidad

Código de ética

Última actualización

Fecha: 14 abril, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx