هشدار امنیتی شرکت لنوو درباره

آسیب‌پذیری‌های اصلاح نشده در محصولات ThinkPad

بررسی‌های اخیر محققان امنیتی نشان می‌دهد که ده‌ها حفره امنیتی در محصولات شرکت لنوو با نشان تجاری ThinkPad اصلاح نشده باقی مانده‌اند که مهم‌ترین آسیب‌پذیری در میان موارد شناسایی شده، مربوط به یک نقص امنیتی بحرانی در فناوری بلوتوث مورد استفاده در لپ‌تاپ‌های ThinkPad است.

براساس خبرهای منتشر شده، محققان امنیتی ده‌ها آسیب‌پذیری اصلاح نشده در محصولات لنوو شناسایی کرده‌اند که کاربران لپ‌تاپ‌های ThinkPad شرکت لنوو را معرض خطر قرار می‌دهد. سه مورد از این آسیب‌پذیری‌ها با درجه بحرانی، دو آسیب‌پذیری با سطح اهمیت متوسط و باقی آسیب‌پذیری‌ها با درجه خطر کم دسته‌بندی شده‌اند.

به گفته محققان، مهم‌ترین آسیب‌پذیری شناسایی شده مربوط به یک نقص امنیتی در فناوری بلوتوث لپ‌تاپ‌های تینک‌پد است که در بخشی از اصلاحیه‌های امنیتی ماه آگوست شرکت مایکروسافت جزئیات آن منتشر شد. آسیب‌پذیری بحرانی «encryption key negotiation of Bluetooth» که با شناسه CVE-2019-9506 دنبال می‌شود، به مهاجمانی که در نزدیکی دستگاه‌های آسیب‌پذیر قرار دارند، اجازه می‌دهد حملات سرقت اطلاعات و حملات بدست‌آوردن سطح دسترسی مدیریتی را انجام دهند.

در همین رابطه شرکت لنوو اعلام کرده است که اصلاحیه‌های امنیتی مربوط به این آسیب‌پذیری‌ها را تا تاریخ ۲۰ سپتامبر منتشر خواهد کرد که عموما روی لپ‌تاپ‌های تینک‌پد فروخته شده در سال‌های ۲۰۱۵ و ۲۰۱۶ تاثیر گذاشته است.

همچنین در روزهای اخیر آسیب‌پذیری دیگری در محصولات لنوو شناسایی شده است که شرایط انجام حملات «privilege-escalation» را برای مهاجمان فراهم می‌سازد. به‌طور کلی حملات «privilege-escalation» منجر به‌ به‌دست آوردن سطح دسترسی بالاتر از سطح معمول و تعریف شده برای نرم‌افزارها می‌شود که مهاجمان از آن برای دسترسی به اطلاعات محافظت شده، دسترسی به تنظیمات پیکربندی دستگاه‌ها و حتی نصب بدافزارها و کنترل دستگاه‌ها می‌توانند بهره‌برداری کنند.

 

 

توضیحات بیشتر در:

Lenovo Warns of ThinkPad Bugs, One Unpatched