लेनोवो के पुराने लैपटॉप के मालिकों को जल्द से जल्द लेनोवो सॉल्यूशन सेंटर को अनइंस्टॉल करना होगा।
पेन टेस्ट पार्टनर्स के सुरक्षा शोधकर्ताओं ने लेनोवो सॉल्यूशन सेंटर में एक गंभीर भेद्यता पाई जो हैकर्स या मैलवेयर को व्यवस्थापकीय विशेषाधिकार सौंप सकती है।
पेन टेस्ट पार्टनर्स के अनुसार, दोष एक विवेकाधीन एक्सेस कंट्रोल लिस्ट (डीएसीएल) ओवरराइट है, जिसका अर्थ है कि एक कम-विशेषाधिकार प्राप्त उपयोगकर्ता एक उच्च-विशेषाधिकार प्राप्त प्रक्रिया का फायदा उठाकर एक संवेदनशील फ़ाइल में घुस सकता है। यह एक "विशेषाधिकार प्राप्त वृद्धि" हमले का एक उदाहरण है जिसमें एक बग का उपयोग उन संसाधनों तक पहुंच प्राप्त करने के लिए किया जा सकता है जो सामान्य रूप से केवल व्यवस्थापकों के लिए सुलभ होते हैं।
इस मामले में, एक हमलावर एक छद्म फ़ाइल (हार्ड लिंक फ़ाइल कहा जाता है) लिख सकता है, जब लेनोवो सॉल्यूशन सेंटर द्वारा चलाया जाता है, संवेदनशील फाइलों तक पहुंच जाएगा अन्यथा इसे पहुंचने की अनुमति नहीं दी जानी चाहिए। वहां से, सिस्टम पर हानिकारक कोड को व्यवस्थापक या सिस्टम विशेषाधिकारों के साथ निष्पादित किया जा सकता है, जो मूल रूप से गेम ओवर है, जैसा कि पेन टेस्ट पार्टनर्स नोट करते हैं।
लेनोवो सॉल्यूशन सेंटर एक ऐसा प्रोग्राम है जो 2011 से नवंबर 2022-2023 तक लेनोवो लैपटॉप पर प्रीइंस्टॉल्ड था, जिसका अर्थ है कि लाखों डिवाइस प्रभावित हो सकते हैं। विडंबना यह है कि कार्यक्रम का उद्देश्य लेनोवो पीसी के स्वास्थ्य और सुरक्षा की निगरानी करना है। हालांकि यह दोष व्यक्तिगत उपयोगकर्ताओं के लिए इतनी बड़ी चिंता का विषय नहीं है, जो जल्दी से अपने सिस्टम की रक्षा कर सकते हैं, बड़ी कंपनियां जो पुराने थिंकपैड लैपटॉप के बेड़े के मालिक हैं और विरासत सॉफ्टवेयर का उपयोग करते हैं, वे अनुकूलन के लिए धीमी हो सकती हैं।
अपने हिस्से के लिए, लेनोवो ने एक सुरक्षा बयान प्रकाशित किया जिसमें उपयोगकर्ताओं को बग के बारे में चेतावनी दी गई और उनसे समाधान केंद्र की स्थापना रद्द करने का आग्रह किया गया, जिसका कंपनी अब समर्थन नहीं करती है।
"लेनोवो सॉल्यूशन सेंटर संस्करण 03.12.03 में रिपोर्ट की गई एक भेद्यता, जो अब समर्थित नहीं है, लॉग फ़ाइलों को गैर-मानक स्थानों पर लिखने की अनुमति दे सकती है, संभावित रूप से विशेषाधिकार वृद्धि की ओर ले जाती है। लेनोवो ने लेनोवो सॉल्यूशन सेंटर के लिए समर्थन समाप्त कर दिया और ग्राहकों को माइग्रेट करने की सिफारिश की अप्रैल 2022-2023 में लेनोवो वैंटेज या लेनोवो डायग्नोस्टिक्स के लिए, "बयान पढ़ता है।
लेनोवो ने यह निर्दिष्ट नहीं किया कि उसने सॉल्यूशन सेंटर के साथ पहले से इंस्टॉल किए गए लैपटॉप की शिपिंग कब बंद कर दी, इसलिए यह संभव है कि कई लेनोवो लैपटॉप जो एक वर्ष से कम पुराने हैं, बड़ी खामियों के साथ असमर्थित सॉफ़्टवेयर ले जाते हैं।
लेनोवो पर अपने ट्रैक को कवर करने का भी आरोप लगाया गया है। पेन टेस्ट पार्टनर्स के अनुसार, जब उन्होंने लेनोवो को भेद्यता के बारे में सूचित किया, तो कंप्यूटर निर्माता ने कथित तौर पर समाधान केंद्र की समाप्ति तिथि को कई महीनों तक वापस ले लिया ताकि ऐसा लगे कि नवंबर 2022-2023 में अंतिम संस्करण जारी होने से पहले यह सुविधा बंद कर दी गई थी। .
"अक्सर यह उन अनुप्रयोगों के मामले में होता है जो समर्थन के अंत तक पहुंचते हैं कि हम अनुप्रयोगों को अपडेट करना जारी रखते हैं क्योंकि हम नए प्रसाद में संक्रमण करते हैं, यह सुनिश्चित करने के लिए कि ग्राहकों ने संक्रमण नहीं किया है, या नहीं चुनते हैं, फिर भी समर्थन का न्यूनतम स्तर है, एक अभ्यास जो उद्योग में असामान्य नहीं है," लेनोवो ने विसंगति के बारे में पूछे जाने पर द रजिस्टर को बताया।
लेनोवो धूर्त है या नहीं, लब्बोलुआब यह है: यदि आप 2011 और 2022-2023 के बीच निर्मित लेनोवो लैपटॉप के मालिक हैं, तो जल्द से जल्द लेनोवो सॉल्यूशन सेंटर से छुटकारा पाएं। आप विंडोज 10 पर प्रोग्राम को अनइंस्टॉल करने के तरीके के बारे में इस सरल गाइड का पालन करके ऐसा कर सकते हैं।
लैपटॉप पत्रिका टिप्पणी के लिए लेनोवो तक पहुंच गई है, और जब हमें कोई जवाब मिलेगा तो हम इस कहानी को अपडेट करेंगे।
- कैसे एक वीपीएन आपकी सुरक्षा और गोपनीयता को बढ़ा सकता है | टॉम की गाइड