Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Opnieuw groot lek ontdekt in Lenovo-laptops

Er is opnieuw een kritiek beveiligingslek gevonden in laptops van Lenovo. Slechts een paar maanden na het Superfish-debacle blijkt het eenvoudig een man-in-the-middle-aanval uit te voeren op vrijwel alle laptops van het bedrijf, via certificaten in het update-systeem.
Het nieuwe lek werd ontdekt door beveiligingsbedrijf IOActive. Dat kwam erachter dat er zwakke plekken in het update-systeem van Lenovo zitten.

Certificaat vervalsen

Door die zwakke plekken blijkt het makkelijk te zijn een veiligheidscertificaat te vervalsen. De laptop denkt daarbij ten onrechte dat een verbinding veilig is. Dat is vooral een probleem wanneer de laptop wordt gebruikt op een openbare wifi-netwerk.

Updaten via netwerk

Het lek zit echter wel in het update-systeem van de laptop, en zorgt daarom alleen voor een risico als de gebruiker de laptop update op een openbaar netwerk. Wanneer de gebruiker echter updates automatisch laat installeren, is het niet veilig de laptops op een openbaar netwerk te gebruiken.

Responsible disclosure

Het onderzoeksbureau ontdekte het lek zo'n 3 maanden geleden, en lichtte Lenovo daar over in. Het bedrijf heeft inmiddels een patch voor het lek uitgebracht, maar gebruikers moeten dat handmatig updaten.

Patch

Het probleem is een stuk minder ernstig dan de Superfish-adware die Lenovo op zijn laptops mee bleek te leveren. Die adware was door het bedrijf zelf geïnstalleerd, wat gebruikers het bedrijf niet in dank afnamen. In dit geval gaat het om een bug, waarop Lenovo zelf een patrch heeft uitgebracht.

Geschreven door: Tijs Hofmans op

Category: Nieuws, Security

Tags: Superfish, lek, bug, patch, responsible disclosure, Lenovo

Nieuws headlines

Laatste reactie