Lenovoのアップデート機能に脆弱性らしい。アップデートをすりかえられるのは厳しい・・・・・

LenovoのThinkPadなどのアップデート配信に使われている「Lenovo System Update」に深刻な脆弱性が指摘され、同社は更新版をリリースして脆弱性に対処したことを明らかにした。
　脆弱性を発見したIOActiveのアドバイザリーによると、Lenovo System Updateの5.6.0.27までのバージョンに3件の脆弱性が見つかった。このうちの1件では、攻撃者が署名による認証をかわして信頼できるLenovoアプリケーションを不正なアプリケーションと入れ替え、そのアプリを特権ユーザーとして実行できてしまう恐れがあったとされる。
　System Updateではインターネット経由で実行可能ファイルをダウンロードして実行する仕組みになっているため、リモートの攻撃者がこの脆弱性を悪用すれば、例えば公衆無線LANなどを通じて通信に割り込む中間者攻撃を仕掛け、Lenovoの実行可能ファイルを不正な実行可能ファイルに入れ替えることもできてしまうという。

Lenovo製品のアップデート機能に深刻な脆弱性、更新版で対処 - ITmedia エンタープライズ