Muchos recordaréis lo ocurrido tres meses atrás, cuando se destapó la instalación en los ordenadores de Lenovo del adware Superfish, el cual además de insertar publicidad mientras navegábamos podía comprometer las conexiones seguras y los certificados de seguridad SSL. Hoy, la firma de seguridad IOActive destapa un nuevo fallo en el mayor fabricante de PCs del mundo, una vulnerabilidad que pone en alto riesgo la seguridad de los equipos.
El fallo encontrado se encuentra en el sistema de actualización de seguridad de Lenovo, el cual podría permitir a usuarios avanzados eludir los controles de validación reemplazando los programas legítimos de Lenovo por propios, con la inclusión de software malicioso y/o infectado y pudiendo en último caso ejecutar comandos de forma remota.
Básicamente y, según explica la firma de seguridad, el fallo es realmente grave y podría llegar a dejar nuestros equipos totalmente en manos de terceros. ¿Cómo? IOActive da un ejemplo que se puede dar de manera relativamente sencilla, por ejemplo en una cafetería con wifi pública donde un propietario de un equipo Lenovo actualiza el PC. En ese momento otro individuo podría utilizar el agujero de seguridad para intercambiar programas de Lenovo por uno propio. Un grave fallo de seguridad que se da, junto a otros descritos por la firma, en las versiones 5.6.027 y anteriores.
Según explica IOActive, la manera que ha ofrecido Lenovo para solucionar la vulnerabilidad es descargar una actualización de seguridad de forma manual y no a través del programa oficial de actualizaciones.
