Σε παλαιότερη μας δημοσίευση αναφέραμε για τους κινδύνους που εγκυμονεί στην προστασία προσωπικών δεδομένων του χρήστη το πρόγραμμα LSE της Lenovo. Σήμερα λάβαμε την επίσημη ανακοίνωση της εταιρείας μέσω της αντιπρόσωπου της για το συγκεκριμένο θέμα.
Σας γνωστοποιήσουμε λοιπόν το επίσημο statement της Lenovo:
Στο χρονικό διάστημα Απρίλιος – Μάιος, η Lenοvo διέθεσε το νέο firmware BIOS για μερικά από τα consumer PCs της, που δεν περιλάμβανε ένα τρωτό θέμα ασφάλειας, που ανακαλύφθηκε και ήρθε στην επιφάνεια από έναν ανεξάρτητο ερευνητή ασφάλειας, τον Roel Schouwenberg.
Σε συνεργασία με τον κ. Schouwenberg και σε αρμονία με τις βέλτιστες πρακτικές που επιβάλει η βιομηχανία για την προστασία των προσωπικών δεδομένων, στις 31 Ιουλίου 2015, εκδώσαμε το Lenοvo Product Security Advisories, που επισημάνει το νέο BIOS firmware – ειδικά για consumer Notebook και Desktop.
Η Lenοvo συστήνει ανεπιφύλακτα ότι οι χρήστες μπορούν να διατηρούν ενημερωμένα τα συστήματά τους με το τελευταίο BIOS firmware.
Ξεκινώντας τον Ιούνιο, το νέο BIOS firmware έχει εγκατασταθεί σε όλα τα νέα consumer notebook και συστήματα desktop της Lenοvo.
Η ευπάθεια συνδέθηκε με τον τρόπο που η Lenοvo χρησιμοποιεί το μηχανισμό των Microsoft Windows σε χαρακτηριστικό γνώρισμα που βρίσκεται στο BIOS firmware, που ονομάζεται Lenοvo Service Engine (LSE), που είχε εγκατασταθεί σε ορισμένα consumer PCs της Lenοvo. Το PC Think-brand δεν επηρεάστηκε.
Μαζί με αυτόν τον ερευνητή ασφάλειας, η Lenοvo και η Microsoft ανακάλυψαν πιθανούς τρόπους με τους οποίους το πρόγραμμα αυτό θα μπορούσε να αξιοποιηθεί από έναν εισβολέα, συμπεριλαμβανομένης μίας buffer overflow επίθεσης και μία απόπειρα σύνδεσης σε ένα test server της Lenοvo.
Ως αποτέλεσμα αυτών των διαπιστώσεων, η Microsoft κυκλοφόρησε πρόσφατα ενημερωμένες κατευθυντήριες οδηγίες ασφαλείας (βλ. σελίδα 10 στο επισυναπτόμενο αρχείο) σχετικά με το πώς να εφαρμοστεί καλύτερα αυτό το χαρακτηριστικό Windows BIOS.
Η χρήση του Lenovo LSE δεν ήταν συμβατή με αυτές τις νέες κατευθυντήριες γραμμές. Ως αποτέλεσμα, το LSE δεν εγκαθίστανται πλέον στα συστήματα της Lenοvo. Συνίσταται ιδιαίτερα οι πελάτες να ενημερώνουν τα συστήματά τους με το νέο BIOS firmware το οποίο απενεργοποιεί ή αφαιρεί αυτό το χαρακτηριστικό.
Το LSE είχε αποσταλεί σε ορισμένα Lenοvo συστήματα notebook, που λειτουργούν με Windows 7, 8 και 8.1 και συστήματα desktop που λειτουργούν με Windows 8 και 8.1. Το λογισμικό δεν είναι προεγκατεστημένο σε κανένα Think-branded PCs.