对于在不到半年的时间，第三次的PC制造商联想集团不得不更新系统更新工具在其部分产品因安全原因的预装。对于在不到半年的第三次安全问题已经迫使联想到更新预装在其个人电脑的工具之一。
上周，该公司发布了联想的系统更新，一个工具，可以帮助用户保持其计算机的驱动程序和BIOS最新的，这是以前所谓的ThinkVantage系统更新的5.07.0019版本。新版本修复的研究人员从安全公司IOActive发现了两个本地权限提升漏洞。其中一个漏洞位于该工具的帮助系统，并允许用户以有限的Windows帐户通过单击帮助页面的URL启动Internet Explorer的具有管理员权限的实例。这是因为联想的系统更新自己受到所安装应用程序时，会创建一个临时的管理员帐户运行，所以任何它产生的过程将在同一帐户下运行。
“从那里，一个未经授权的攻击者有很多方法可以利用在管理员权限运行提升自己的权限管理员或系统的Web浏览器的实例，”IOActive安全研究员Sofiane的Talmat在博客周三表示。

第二个漏洞还涉及到临时管理员帐户，尤其涉及在其中产生其名字和密码的方式。的用户名遵循模式tvsu_tmp_xxxxxXXXXX，其中每个小写字母x是随机生成的小写字母和每个大写的X是随机生成的大写字母。然而，这是应该随机选择的字母的功能连接到当前的时间，使得它的输出可预测的。“这是可能的攻击者可以再生的基础上创建账户时相同的用户名，”Talmat说。密码生成函数有两个方法，一个安全的和一个备用一个也是可预见的。这意味着，在某些情况下，攻击者可以猜测时的用户名和密码，并获得管理权限。联想系统更新今年收到的另外两个安全补丁：一个在七月，一个在十月。这些更新修复了可能允许攻击者通过应用程序来执行命令或更换与恶意软件的合法更新的漏洞。