La
firma de seguridad informática IOActive ha detectado un importante
fallo en el sistema de actualización de los ordenadores Lenovo que
permitiría a un atacante controlar PCs en remoto y robar información de
usuarios. Lenovo ya ha lanzado un parche, pero es necesario que los
usuarios actualicen sus ordenadores. Es el último fiasco de seguridad de
la firma china.
Apenas tres meses después del escándalo por el adware preinstalado en sus PCs, Lenovo se enfrenta de nuevo a un serio problema de seguridad. Según ha detallado IOActive en un informe,
la vulnerabilidad afecta a la actualización del sistema 5.6.0.27 y
versiones anteriores en ordenadores Lenovo. Esta actualización descarga
archivos ejecutables en el ordenador de los usuarios. Los archivos
cuentan con certificados digitales, pero Lenovo no los verifica por
completo en el proceso. Un atacante podría crear certificados digitales
falsos para reemplazarlos por los de Lenovo e interceptar la conexión de
un usuario en una misma red WiFi no segura (en una cafetería, por
ejemplo) para infiltrarse en su PC. Una vez hecho (el usuario tendría en
ese momento que estar descargando la actualización del sistema de
Lenovo para que el atacante pudiera infiltrarse), se podría manejar en
remoto el PC, descargar malware o robar todo tipo de información
contenida en el ordenador. La compañía avisó a Lenovo del fallo el pasado febrero y, desde entonces, esta ha publicado un parche de seguridad que soluciona el problema. Sin embargo, de momento no parece haber una actualización automática sino que el usuario debe buscar en el sistema por actualizaciones que le redirijan a la web de Lenovo para la descarga. Si tienes un ordenador Lenovo, es aconsejable que busques por esas actualizaciones ahora mismo. Y sí, mejor hacerlo sobre una conexión WiFi segura, no una pública. Lenovo de momento no ha hecho ningún comunicado oficial al respecto. Actualizaremos por aquí con cualquier novedad.
No hay comentarios:
Publicar un comentario