Брешь в софте Lenovo позволяет взломать Windows-ноутбуки за 10 минут

Брешь в софте Lenovo позволяет взломать Windows-ноутбуки за 10 минут

Брешь в софте Lenovo позволяет взломать Windows-ноутбуки за 10 минут

Исследователи Pen Test Partners (PTP) нашли уязвимость в программном обеспечении Lenovo Solution Centre (LSC). По словам специалистов, с помощью этой бреши злоумышленник может повысить свои права в системе. Проблема получила идентификатор CVE-2019-6177, она существует с 2011 года.

Lenovo ещё в апреле 2018 года рекомендовала пользователям перейти с Lenovo Solution Center на Lenovo Vantage или Lenovo Diagnostics. Компания больше не планирует поддерживать Lenovo Solution Center.

«К нам поступила информация об уязвимости в Lenovo Solution Center версии 03.12.003, которую мы уже не поддерживаем. Брешь позволяет записать лог-файлы в нестандартные места, что может привести к повышению прав в системе», — говорится в сообщении Lenovo.

Несмотря на то, что производитель делает акцент на окончании срока поддержки, следует учитывать: большинство ноутбуков на Windows от Lenovo поставляются с предустановленным уязвимым программным обеспечением.

«Мы обнаружили уязвимость повышения привилегий в софте Lenovo Solution Centre (LSC). Эта программа поставляется с большинством Windows-ноутбуков данного производителя», — вот что пишут в отчете эксперты Pen Test Partners.

«В результате пользователь с низкими правами сможет указать файл, находящийся в любом месте системы, повысив ему права за счёт процесса Lenovo с высокими привилегиями».

Помимо этого, исследователи отметили, что уязвимая программа добавляет в систему задание «\Lenovo\Lenovo Solution Center Launcher», которое запускается с максимально доступными правами.

Чтобы использовать брешь в своих интересах, атакующий должен создать жесткую ссылку в директории C:\ProgramData\Lenovo\LSC\log\. Эта ссылка должна указывать на файл, права которого злоумышленник хочет повысить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яндекс Документы вышел из бета-версии

Яндекс сообщил о завершении бета-тестирования собственного офисного пакета онлайн-редакторов Яндекс Документы, включающего инструменты для работы с текстами и таблицами. Новый сервис был разработан с нуля и пришёл на смену предыдущему решению, основанному на веб-версии «Р7 Офиса». Теперь редакторы доступны всем пользователям в релизной версии с расширенным функционалом.

Бета-версия онлайн-редакторов от Яндекса появилась в декабре 2024 года. В отличие от прежнего решения, основанного на «Р7 Офисе», новый офисный пакет создавался полностью с нуля.

Ключевой особенностью Яндекс Документов стала глубокая интеграция с нейросетью YandexGPT. С её помощью пользователи могут генерировать тексты по запросу, пересказывать документы или формировать краткое резюме объёмных материалов.

В релизной версии появилась поддержка офлайн-режима: работать с документами можно без подключения к интернету, а при восстановлении связи данные автоматически синхронизируются с облаком. Редакторы уведомляют пользователя как о переходе в офлайн-режим, так и о возвращении соединения.

Среди новых возможностей — комментарии к документам, вставка изображений и таблиц в текстовые файлы. В табличном редакторе реализована поддержка диаграмм, фильтров для анализа данных, поиска по содержимому, а также закрепление областей при работе с крупными таблицами.

«Собственная технологическая платформа делает нас гибче и позволяет быстрее внедрять новые функции. Уже на этапе бета-тестирования мы предложили по-настоящему функциональный инструмент, которым пользовались миллионы человек в рабочих и повседневных задачах. Мы продолжаем развивать сервис, добавляя новые сценарии: офлайн-режим, визуальные инструменты — лишь начало. Впереди — ещё больше нововведений, и мы представим их на флагманской конференции Yandex Connect 30 октября», — отметил руководитель сервиса Документы Евгений Круглов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru