В устройствах от Dell, Lenovo и Toshiba обнаружены множественные уязвимости


LenovoЭксперт по информационной безопасности выявил множественные уязвимости в компьютерах, ноутбуках и планшетах трех крупнейших производителей вычислительной техники:

  • Dell;
  • Toshiba;
  • Lenovo.

Во всех случаях уязвимости существуют из-за ошибок в предустановленном производителями ПО. Эксплуатируя уязвимости удаленный пользователь может выполнить произвольный код на целевом компьютере с правами администратора. Для их успешной эксплуатации пользователю необходимо лишь перейти на вредоносный web-сайт либо открыть вложение к зараженному письму.

Из трех производителей наибольшее количество брешей было обнаружено в ноутбуках производства Lenovo. Три уязвимости существуют из-за ошибок в программном обеспечении Lenovo Solution Center, которое устанавливается на все устройства:

  • линейки Think;
  • планшеты ThinkPad;
  • настольные ПК ThinkCenter и Think Station, IdeaCenter и IdeaPad.


Производитель подтвердил наличие брешей и приступил к разработке исправления. Для быстрого исправления уязвимости достаточно удалить Lenovo Solution Center.

Одна уязвимость была обнаружена в устройствах Toshiba. Брешь существует из-за ошибки в программном обеспечении Toshiba Service Station. Предустановленное приложение позволяет обычным пользователям получить доступ к некоторым частям реестра с повышенными привилегиями.

В устройствах Dell уязвимость существует из-за предустановленной программы Dell System Detect. Диагностическое приложение, предназначенное для сбора данных о системе перед соединением со службой поддержки пользователей. Брешь позволяет обойти защитные механизмы Windows и повысить привилегии.

Какое количество уязвимых устройств в настоящее время выяснить не возможно, но даже по некоторым предположениям, от брешей могут пострадать миллионы пользователей во всем мире. В компаниях Dell и Toshiba не дали никаких комментариев относительно инцидента. Исследователь не предупреждал производителей об обнаруженных уязвимостях, считая нечестной их практику установки ненужного ПО на поставляемые конечным пользователям устройства.


Обновлено (07.12.2015 22:19)