Die Sicherheitsexperten PenTestPartner fanden eine Schwachstelle (CE-2019-6177) in der vorinstallierten Software Lenovo Solution Center, welche es einem am System angemeldeten Nutzer ermöglicht Administrationsrechte zu erhalten, indem dieser einen Hardlink auf das gewünschte Binary in dem Log-Verzeichnis ablegt. Laut Heise Security hat Lenovo das End-Of-Life der Software von Ende November 2018 auf April zurückdatiert, als diese von der Sicherheitslücke erfahren haben. Das heißt, dass die Software nicht mehr auf Geräten vorinstalliert wird. Für alle älteren Geräte stellt Lenovo jedoch bisher keinen Fix der Schwachstelle zur Verfügung. Heise Security rät daher Firmenadministrastoren dazu, die sich im Bestand befindenden Lenovo-Systeme zu überprüfen und die Crapware Lenovo Solution Center zu entfernen und falls benötigt Lenovo Vantage und Lenovo Diagnostics zu installieren. Quelle: www.heise.de/security/meldung/Lenovo-Crapware-Vorinstallierte-Systemsoftware-macht-Laptops-angreifbar-4505088.html
