Компания Pen Test Partners обнаружила уязвимость в предустановленной на ноутбуках утилите Lenovo Solution Center (LSC), которая даёт возможность злоумышленникам получить права администратора в Windows, если они имеют локальный или удалённый доступ к ПК.
Дальше интереснее
Специалисты заявляют, что проблема не новая: с 2011 года она находится практически на всех ноутбуках компании Lenovo. Но это не самое интересное: о проблеме сообщили в мае 2019 года, мол, надо бы исправить, а Lenovo задним числом изменила срок поддержки утилиты. Было 30 ноября 2018, а стал апрель 2018.
И получается так, будто компания выпускает обновления для LSC, но утилита уже не поддерживает обновления. А последняя актуальная версия ПО была выпущена в октябре 2018 года.
Зачастую для программного обеспечения, срок поддержки которого завершён, мы продолжаем выпускать обновления по мере перехода к новым продуктам, чтобы гарантировать нашим клиентам, которые не успели или не захотели перейти, минимальный уровень поддержки. Это практика, которая не является редкостью в нашей отрасли.
Пресс-служба Lenovo
Также компания советует установить Lenovo Vantage или Lenovo Diagnostics. Интересно, что там с уязвимостями?
Как думаете, какой штраф ждёт компанию за использование ПО с такой «дырой» в безопасности, а ещё в дополнение и за попытку сокрыть своё отношение к этому?