Lenovo ha publicado una nueva versión de su herramienta
de soporte "Lenovo Solution Center", preinstalada y activa en
millones de portátiles, equipos de escritorio y tabletas Lenovo. Una
vulnerabilidad en este software podría permitir a un atacante local elevar sus
privilegios en el sistema.
En esta ocasión, el problema reside en el software "Lenovo Solution Center" (LSC), una aplicación creada por Lenovo que permite a los usuarios realizar funciones de diagnóstico e identificar rápidamente el estado del hardware y software del PC, las conexiones de red y la presencia de elementos de seguridad como firewalls o antivirus.
Este software se compone de una interfaz gráfica de
usuario y el proceso "LSCTaskService" que corre como servicio en el
sistema del usuario, incluso si la interfaz de usuario está cerrada.
Se ha identificado una nueva vulnerabilidad de elevación de privilegios (con CVE-2016-1876) en este software. Esto es un usuario local sin privilegios podría ejecutar código arbitrario con privilegios del sistema.
Una vez más, se confirma el peligro del software
preinstalado, mucho más cuando a veces hasta el propio usuario desconoce lo que
el fabricante ha incluido en el equipo.
Lenovo ha publicado la versión 3.3.002 de Lenovo Solution Center para corregir esta vulnerabilidad. Basta con abrir la aplicación y se presentará la opción de actualización automática.
Más información:
- Privilege Escalation Vulnerabilities within Lenovo Solution Center https://support.lenovo.com/es/es/product_security/len_4326