Theo thông báo từ hãng Lenovo, trong khoảng thời gian từ tháng 4/2015 tới tháng 5/2015, Lenovo đã phát hành bản cập nhật phần mềm firmware BIOS mới cho một số mẫu máy tính để bàn người dùng, giúp loại bỏ lỗ hổng bảo mật đã được nhà nghiên cứu bảo mật độc lập Roel Schouwenberg phát hiện trước đó.

Với trách nhiệm công bố thông tin minh bạch, Lenovo đã hợp tác với ông Schouwenberg phát hành tài liệu Tư vấn Bảo mật Sản phẩm Lenovo (Lenovo Product Security Advisories) vào ngày 31/7/2015, trong đó có đề cập tới bản nâng cấp firmware BIOS mới – đặc biệt dành cho các mẫu máy tính để bàn và máy tính xách taycho người dùng cuối. Lenovo luôn khuyến nghị người dùng nâng cấp hệ thống máy tính lên bản firmware BIOS mới nhất.

Liệu bản nâng cấp BIOS nhằm “chữa cháy” cho LSE có giúp hãng này lấy lại được niềm tin ở người sử dụng?

Cụ thể, bắt đầu từ tháng 6/2015, bản nâng cấp firmware BIOS mới đã được cài đặt trên tất cả hệ thống máy tính để bàn và máy tính xách tay người dùng mới do Lenovo sản xuất.

Cần phải nhắc lại, lỗ hổng bảo mật LSE bị phát hiện trước đó cho phép nhà sản xuất cài phần mềm bất kỳ lên máy tính của người dùng mà họ không biết, khi đó, máy tính không còn là tài sản cá nhân. 

Một nhà nghiên cứu bảo mật độc lập đã chỉ ra nguy cơ rủi ro nếu hacker thông qua phần mềm này để lợi dụng để thực hiện tấn công trên dòng máy tính xách tay Lenovo, bao gồm tấn công tràn bộ đệm và cố gắng kết nối với máy chủ kiểm định của Lenovo.

Lỗ hổng trên có liên quan tới cách thức Lenovo sử dụng cơ chế Microsoft Windows trong tính năng Lenovo Service Engine (LSE) ở bản firmware BIOS được cài đặt trên một số mẫu máy tính người dùng của hãng.

Các dòng máy hiệu Think hoàn toàn không bị ảnh hưởng bởi sự cố này. Cùng với nhà nghiên cứu bảo mật Schouwenberg, Lenovo và Microsoft cũng phát hiện ra một số cách thức mà chương trình này có thể bị lợi dụng để thực hiện tấn công trên dòng máy tính xách tay Lenovo, baoNL gồm tấn công tràn bộ đệm và cố gắng kết nối với máy chủ kiểm định của Lenovo.

Dựa vào những phát hiện trên, Microsoft gần đây đã phát hành các hướng dẫn bảo mật nâng cấp chỉ ra cách thức sử dụng tính năng Windows BIOS này một cách tốt nhất.

Việc sử dụng tính năng LSE của Lenovo không liên quan tới những hướng dẫn mới này. Và vì thế, LSE hiện không còn được cài đặt trên các hệ thống máy tính Lenovo.

“Chúng tôi khuyến nghị khách hàng cần ngay lập tức cập nhật các hệ thống máy tính bằng bản nâng cấp firmware BIOS mới này để giúp vô hiệu hóa và loại bỏ tính năng LSE”, đại diện Lenovo cho hay.

LSE được cài đặt sẵn trên một vài dòng máy tính hiệu Lenovo gồm máy tính xách tay chạy Windows 7, 8 và 8.1, và máy tính để bàn chạy Windows 8 và 8.1 như danh sách dưới đây, tuy nhiên theo giải thích của Lenovo thì phần mềm này không được cài đặt trong các dòng máy thương hiệu Think.

Cũng để sửa sai, Lenovo đã có hướng dẫn gỡ bỏ lỗ hổng bảo mật LSE trên các sản phẩm Lenovo,  với quy trình thực hiện đơn giản ai cũng có thể làm được. Tuy nhiên, bản thân hãng Lenovo cũng lưu ý, cách làm  này chỉ áp dụng nếu thiết bị  đang hoạt động trên nền hệ điều hành Windows 8, 8.1 và 10 với chế độ UEFI.

Tuy nhiên, trước bê bối này của Lenovo, không hiểu, người tiêu dùng sẽ còn niềm tin với các sản phẩm công nghệ của hãng Lenovo tới đâu?