Il software Lenovo Solution Center (LSC), installato dalla società cinese sui suoi PC, è di nuovo nell’occhio del ciclone.
Martin Rakhmanov, ricercatore presso Trustwave, ha scoperto che un utente malintenzionato, collegato alla medesima rete locale sulla quale è installato il PC facente uso di LSC, può eseguire comandi e programmi arbitrari sul sistema altrui con i diritti di amministratore.
Le vulnerabilità sono state individuate nella versione 3.3.0002 di LSC e in tutte le release precedenti.
I possessori di un sistema Lenovo sul quale risulti installato LSC, sono quindi invitati ad aggiornare prima possibile il software alla versione più recente.
Il nuovo incidente, comunque, fa riflettere sull’opportunità di rimuovere molti dei software che si trovano preinstallati sul PC al momento dell’acquisto e, quindi, sin dal primo avvio.
Lenovo sottolinea di aver immediatamente rilasciato un aggiornamento non appena i tecnici dell’azienda sono venuti a conoscenza del problema di sicurezza.
È vero che la vulnerabilità non è sfruttabile da remoto ma, a seconda della configurazione della connessione di rete, potrebbe essere utilizzata per eseguire codice dannoso, ad esempio, quando collegati a reti WiFi altrui. Oppure potrebbe essere impiegata da chi ha già guadagnato l’accesso alla rete locale in altro modo.