Lenovo corrige dos vulnerabilidades de sus herramientas de Windows

Escrito por Luis Torroba
Seguridad

Los portátiles Lenovo suelen venir precargados con un software propio, sin que esto perjudique a Microsoft, el suministrador del sistema operativo de la marca china. Sin embargo, fueron descubiertas unas vulnerabilidades que podían ser bastante peligrosas para los usuarios. Pues bien, Lenovo ha publicado dos parches que corrigen estas vulnerabilidades.

Esta semana la compañía asiática ha lanzado la versión 5.07.0019 de Lenovo System Update. Con esta herramienta mantienen la BIOS y los controladores actualizados, pero esta vez también han corregido dos vulnerabilidades que podían poner en peligro a los usuarios de Lenovo.

Estas vulnerabilidades fuero descubiertas por investigadores de IOActive y Lenovo no ha tardado mucho en responder publicando dos parches. Y hay que agradecer su rapidez a la vista de la importancia de estas vulnerabilidades. La primera permitía a cualquier usuario abrir una sesión de Internet Explorer con privilegios de administrador, aunque no los tuviera. Esto era posible debido a que Lenovo permitía que la aplicación se ejecutara bajo una cuenta de administrador temporal cuando era instalada. “A partir de ahí, un atacante sin privilegios tiene muchas maneras de explotar la instancia del navegador web que se ejecuta con privilegios de administrador para elevar sus propios privilegios de administrador al sistema“, indica el investigador de seguridad de IOActive Sofiane Talmat.

Lenovo Flex 2 Pro-15

La segunda daba la llave de acceso al sistema

La segunda vulnerabilidad podía ser incluso más peligrosa si un atacante intentaba entrar a una sesión protegida por usuario y contraseña. Aunque el usuario y contraseña generado automáticamente por Lenovo parecía hecho al azar, esto no era así. Siempre tenía el mismo guión por lo que un programa podría perfectamente adivinar el usuario y contraseña de una manera sencilla y así entrar al ordenador y elevar sus privilegios como administrador.

Así que sí, estas dos vulnerabilidades eran bastante serias como para que Lenovo no dejara pasar más tiempo. La marca china ha hecho bien en ser tan rápida y proteger a sus usuarios de posibles ataques externos publicando dos parches de su software precargado. En este caso, Windows no ha tenido nada que ver, y es justo destacarlo ya que muchas veces damos por supuesto que los problemas de software son culpa de Microsoft y, en algunas ocasiones, tienen más que ver con los programas que instalan los propios fabricantes. Algo parecido a lo que ocurre con los dispositivos móviles Android que no son Nexus.

Fuente: betanews.

Quizá te interese…

Compártelo. ¡Gracias!