A Lenovo machucado finalmente lançou uma ferramenta de remoção para o vuln Superfish que seqüestra navegadores web para injetar anúncios em páginas.
Ele vem após a fabricante de computadores chinesa passou os últimos dias tentando fazer as más notícias sobre o badware ir embora , com a alegação de que não tinha "preloads [do software Superfish] a partir de janeiro parou".
Lenovo disse na noite de sexta-feira que estava tomando "medidas adicionais" para lidar com as preocupações dos clientes sobre a vulnerabilidade.
Mas ele fez isso apenas depois de watchdog US-CERT alertaram que a vuln pode ser explorada para "permitir que um atacante remoto para ler todo o tráfego web criptografado browser (HTTPS), representar com sucesso (paródia) qualquer site, ou realizar outros ataques contra o sistema afetado . "
Como relatado anteriormente The Register, o malware instala seu próprio certificado da CA, para que ele possa, em seguida, sorrateiramente interceptar e decifrar conexões HTTPS, adulterar páginas e depois injetar anúncios.
Lenovo já lançou uma "ferramenta automatizada para ajudar os usuários a remover o software e certificado".
Ele acrescentou que estava trabalhando com a Microsoft e McAfee para ajudar a matar empresa ou, pelo menos, colocar em quarentena o crapware.
Em uma declaração queixo-on-the-chão , Lenovo disse:
Nós pedimos preloads Superfish para parar e tinha conexões com o servidor encerrar em janeiro com base em reclamações de usuários sobre a experiência. No entanto, nós não sabia sobre este potencial vulnerabilidade de segurança até ontem [sexta-feira, 20 de fevereiro]. Agora estamos focados em corrigi-lo.
Desde essa altura, passámos mais rapidamente e de forma decisiva como podemos com base no que sabemos agora. Enquanto esta questão não tem impacto nossos Thinkpads; quaisquer tablets, desktops ou smartphones; ou qualquer servidor de empresa ou dispositivo de armazenamento, nós reconhecemos que todos os clientes da Lenovo precisam ser informados.
Pedimos desculpas por causar essas preocupações entre os nossos usuários - estamos aprendendo com esta experiência e vai usá-lo para melhorar o que fazemos e como o fazemos no futuro.
Superfish afirmou na sexta-feira que os usuários de computador não precisa se preocupar com o código - apesar das preocupações expressas pelo US-CERT e bods segurança.
"Infelizmente, nessa situação uma vulnerabilidade foi introduzida acidentalmente por um terceiro. Tanto Lenovo e Superfish fez extensos testes da solução, mas esta questão não foi identificado antes de alguns laptops enviado", disse o chefe do outfit Adi Pinhas.
"Felizmente, a nossa parceria com a Lenovo foi em escala limitada. Fomos capazes de resolver a questão rapidamente. Aprendemos sobre a ameaça potencial de ontem e desde então temos vindo a trabalhar com a Lenovo e Microsoft para criar um remendo indústria para resolver a ameaça." ®
Nenhum comentário:
Postar um comentário