Lenovo corrige vulnerabilidades en sus herramientas para Windows

El software de los fabricantes que viene preinstalado en Windows está siendo en los últimos tiempos blanco de la desconfianza de los usuarios, y no es para menos después del gran revuelo que generó el caso de Superfish, relacionado con el software que Lenovo preinstala en sus ordenadores.

Recientemente la compañía de origen chino ha lanzado la versión 5.07.0019 de ThinkVantage System Update, una herramienta que permite mantener al día la BIOS y los drivers.

Según Lenovo, el último parche ofrece conexión directa a Lenovo Service and Support para los drivers de ThinkPad y ThinkCenter, además de actualizaciones de la BIOS. Por otro lado ayuda a aumentar el rendimiento del sistema y a minimizar las vulnerabilidades de seguridad.

El tema de las vulnerabilidades no es algo que se mencione para quedar bien, ya que han sido corregidas dos que fueron descubiertas por investigadores de IOActive.

Una de estas vulnerabilidades permitía a los usuarios ejecutar Internet Explorer con privilegios de administrador, incluso si la cuenta utilizada está limitada. Esta vulnerabilidad aparecía debido a que el sistema de actualización de Lenovo utiliza una cuenta de administrador temporal, esto allanaba mucho el terreno para que un atacante pudiese hacer un destrozo en el sistema. Este tipo de vulnerabilidades se conoce como escalada de privilegios.

La segunda vulnerabilidad está relacionada con los nombres de usuario y las contraseñas que eran generadas por la herramienta. A pesar de que las contraseñas eran generadas de forma aleatoria, el script las hacía de forma predecible, por lo que era sencillo adivinar las contraseñas que eran asignadas a los usuarios.

Fuente | BetaNews