Lenovoはこのほどリリースした「System Update」の更新版で、2件の権限昇格の脆弱性を修正した。この問題を発見したセキュリティ企業IOActiveが11月25日のブログで伝えた。 Lenovo System UpdateはドライバやBIOSの更新、サポートの提供などに使われている。IOActiveによると、脆弱性のうち1件は、オンラインヘルプ用のシステムに存在する。ヘルプ用のURLページを表示する際に管理者権限でInternet Explorerが起動する問題を突いて、攻撃者に管理者権限を取得される恐れがあるという。 もう1件は、特定の状況下で一時的な管理用アカウントが作成される機能に脆弱性があり、攻撃者が一時的な管理者アカウントのユーザー名とパスワードを推定して、管理者権限を取得することが可能とされる。 この2件の脆弱性は、System Updateのバージョン5.07.0