Lenovo、独自の自動送信ソフトを削除するツール公開―影響はデスクトップ含め34機種と判明

Lenovo、独自の自動送信ソフトを削除するユーティリティ公開

　Lenovoは今回の脆弱性について、セキュリティー研究者Roel Schouwenberg氏が2015年4月～5月に発見した問題で一般消費者向けのノートパソコンとデスクトップパソコンにプリインストールされていることを明らかにしました。

　脆弱性については次のように説明しています。

この脆弱性は、一部のレノボ製コンシューマーPCにBIOSファームウェアの機能としてインストールされた Lenovo Service Engine（LSE）で使用されたMicrosoft Windows のメカニズムに関連しています。上述のセキュリティー研究者と、レノボおよびマイクロソフトは、第三者がこのプログラムを不当に利用することで、バッファーオーバーフロー攻撃を受けたり、レノボのテスト用サーバーに接続を試みるなどの可能性があることを発見しました。

　上記の問題発見を受け、MicrosoftがBIOS実装方法のガイドラインを更新しました。Lenovoは新しいガイドラインに適合しないことからLSEの搭載を中止したとしています。

影響を受けるLenovo製品について

　Windows 7、8、8.1搭載の一部ノートパソコン、Windows 8, 8.1搭載の一部デスクトップパソコンに問題のLSEがプリインストールされており、具体的な機種名は次のようになっています。

対象のLenovo製ノートパソコン

• Flex 2 Pro-15/Edge 15(Broadwell)
• Flex 2 Pro-15/Edge 15(Haswell)
• Flex 3 (1120)
• Flex 3 1470/1570
• G40-80/G50-80
• S21e (S21e-20)
• S41-70/U41-70
• S435/M40-35
• Y40-80
• YOGA 3 (1470)
• YOGA 3 (1170)
• Z41-70/Z51 (Z51-70)
• Z70-80/G70-80

対象のLenovo製デスクトップパソコン

• A540
• A740
• B4030
• B5030
• B5035
• B750
• C2005
• C4005
• C2030/C4030
• C260
• C5030
• H3000
• H3050
• H5000
• H5050
• H5055
• Horizon 2
• Horizon 2e (Yoga Home 500)
• Horizon 2S
• X310(A78)
• X315(B85)

　Lenovoはユーザーに対して利用中のシステムを常に最新のBIOSファームウェアに更新するよう強く推奨しています。

　前回のNHKと読売新聞が伝えた対象機種よりも多いですね。

Lenovo、『YOGA 3』などノートパソコン23機種に組み込んだ自動送信ソフトで個人情報流出の恐れ

Source：Lenovo