Lenovo-Systeme erneut mit einem unsicheren, vorinstallierten Tool unterwegs

Das Thema vorinstallierter Hersteller-Software, die entweder nicht wirklich das tut, was sie soll oder eben die ein oder andere eklatante Sicherheitslücke hat, ist nicht wirklich neu. Traf es im letzten Jahr schon Dells System Detect und auch das ein oder andere Zertifikat, hatte auch Lenovos Solution Center Mitte 2015 mit Superfish zu kämpfen. Nun warnt letzterer Hersteller erneut vor einer Software, die beim Kauf vieler Geräte mit Windows 10 schon vorinstalliert sein kann: Der Lenovo Accelerator Software.

Die Soft- (oder Bloat-) ware soll eigentlich ihrem Namen alle Ehre machen und unter Windows 10 den Start der Lenovo-eigenen Applikationen entsprechend beschleunigen. Wie Lenovo aber jetzt bekannt gab, fand der Sicherheitsexperte Mikhail Davidov von Duo Security bereits Ende Mai eine Verwundbarkeit innerhalb der Lenovo Accelerator Software. Durch dieses Leck wäre theoretisch eine Man-in-the-Middle-Attacke möglich, um Schadcode auf das betreffende System zu laden und auszuführen.

Die Verwundbarkeit an sich liegt in ihrem Updatemechanismus, bei Lenovo-Servern angefragt wird, ob eine Aktualisierung für die Software vorliegt. Der aktuelle, das Lenovo Security Advisory LEN-6718 betreffende Lösungsvorschlag sieht für betroffene Windows 10-Systeme erst einmal die Deinstallation des Programms vor. Wer also sein System nicht neu aufgesetzt hat, um die teils abstrusen Vorinstallation des jeweiligen Herstellers mit teils mehr, teils weniger sinnvoller Software zu umgehen, sollte nun einmal prüfen, ob sein System gegebenenfalls betroffen ist. Die Liste der Geräte seitens Lenovo sieht wie folgt aus:

Betroffene Lenovo-Notebooks:

• 305
• 700
• 300S
• 500/500S
• B40-30/B40-45/B40-45/B40-80
• B41-30/B41-35/B41-80
• B50-30/B50-30 Touch/B50-45/B50-80/B51-30/B51-35/B51-80
• E31-70/E31-80/E40-30/E40-80/E41-80/E50-30/E50-80/E51-80
• Edge 15
• Edge 2-1580
• Erazer N40-30/Erazer N40-45
• Erazer N50-45/Erazer N50-45
• Erazer Z41-70
• Erazer Z51-70
• FLEX 2 Pro
• FLEX 3
• FLEX 4
• K20-80
• K21-80
• K41-70/K41-80
• M41-70
• M51-80
• MIIX 3
• MIIX 700
• N41-35
• N51-35
• S21e-20
• S41-35/S41-70/S41-75
• TianYi 300
• U31-70
• U41-70
• V4000
• XiaoXin 700
• Y50-70/Y50-70 Touch
• Y50c
• Y700/Y700 Touch
• Y70-70 Touch
• Y900
• Yoga 2
• YOGA 3 14
• Yoga 3 Pro
• Yoga 300
• YOGA 500/YOGA 510
• YOGA 700/YOGA 710/YOGA 900/YOGA 900S
• Z41-70
• Z51-70

Betroffene Lenovo Desktop-Systeme:

• 50050C/50100E/50550A/50600I
• A3300
• A7300
• A8150
• B40
• C20
• C40
• C50
• C560
• D3000
• D5010/ D5050/ D5055
• F5005/ F5050/ F5055
• G5005/ G5010/ G5050/ G5055
• H3005
• H30-50
• H5005/ H5055
• H50-50
• IdeaCentre 200
• IdeaCentre 300/300S
• IdeaCentre 510/510S
• IdeaCentre 700
• M7300z
• M8300z/M8350z
• M9550z
• Yoga Home 500

Nennt Ihr eins der betroffenen Systeme Euer Eigen und setzt auf die herkömmliche Vorinstallation, die beim Kauf auf dem Gerät war, solltet Ihr – wie empfohlen – die betroffene Applikation deinstallieren, um so zumindest den theoretischen Schaden abzuwenden, bis Lenovo hier nachgebessert hat.