Фирма IOActive, занимающаяся вопросами безопасности, обнаружила в системе обновлений ПО на ноутбуках Lenovo серьезную уязвимость. Она позволяет хакерам обходить проверку валидности и подменять программы Lenovo вирусами, которыми можно управлять удаленно.

Пользователи ноутбуков Lenovo могут подцепить вирусы в общественных местах, для этого им достаточно запустить процесс обновления программ через открытую точку доступа (например, в кафе). Злоумышленник может создать поддельный сертификат и установить вместо программ Lenovo вредоносное ПО. Эта уязвимость присутствует в  Lenovo System Update версии 5.6.0.27 и ниже.

Lenovo получила от IOActive отчет об уязвимостях в феврале и уже выпустила патч, который их закрывает, но он не устанавливается автоматически. Пользователям нужно скачивать его самостоятельно, а поскольку Lenovo является крупнейшим производителем ноутбуков в мире, эта уязвимость будет существовать еще очень долго.