Três meses depois de pesquisadores de segurança da informação descobrirem que a Lenovo estava instalando software malicioso em seus computadores, a maior fabricante de PCs do planeta é alvo de uma nova vulnerabilidade.

A empresa de segurança da informação IOActive afirma ter descoberto grandes vulnerabilidades no sistema de atualização da Lenovo, que permitiria a hackers que superassem verificações de identificação, troquem programas legítimos da Lenovo por software malicioso e consigam comandar o sistema remotamente.

Por meio de uma das vulnerabilidades, os invasores podem criar um certificado falso para arquivos executáveis, permitindo que software malicioso se disfarce de software oficial da Lenovo. As falhas estariam presentes na atualização 5.6.0.27 do Lenovo System Update e nas versões anteriores.

As vulnerabilidades foram informadas em fevereiro à fabricante, que conseguiu desenvolver uma solução para elas. Em uma atualização lançada em abril, os bugs são removidos. Mas os donos de computadores da Lenovo precisam baixar a atualização de segurança para evitar que suas máquinas sejam expostas ao que a IOActive chama de "grande risco de segurança".

Fonte: IOActive