Al impedir que las computadoras portátiles y de escritorio realicen una verdadera instalación limpia de Windows, Lenovo pudo haber dejado a los usuarios abiertos a los ataques. Esto perjudica la reputación de la empresa al descubrirse otro problema de seguridad alrededor de su software de PC precargado.

El ultimo problema se refiere a una característica en el firmware del BIOS de Lenovo que descarga automáticamente el software y los servicios de Lenovo, incluso si el usuario ha realizado una instalación limpia de Windows. Microsoft actualmente permite esta práctica, pero la implementación particular de Lenovo llamada "Service Engine Lenovo" (Servicio de Mantenimiento de Lenovo) deja abierta una vulnerabilidad de seguridad, la cual un investigador de seguridad independiente descubrió entre abril y mayo.

En respuesta, Microsoft lanzó lineamientos de seguridad para esta técnica utilizada en el BIOS, la llamada "Tabla Binaria de la Plataforma Windows". Debido a que el Servicio de Mantenimiento de Lenovo no cumple con esas directrices, Lenovo dio de baja la herramienta de su firmware BIOS en todos los ordenadores distribuidos después de junio. La compañía también ha lanzado una herramienta especial para la deshabilitación y el 31 de julio publicó una actualización de BIOS para eliminarla de las PC ya distribuidas. Decenas equipos portátiles y de escritorio se han visto afectados, pero Lenovo dice que sus PC de línea Think están a salvo.

Uno de los puntos principales es la vulnerabilidad en sí, pues se ha mantenido activa durante meses. Sin embargo, es muy posible que otros fabricantes de PC estén confiando en el mismo mecanismo para instalar a escondidas su propio software, pero simplemente no se han topado con los problemas de seguridad que Lenovo tuvo.

El momento es particularmente negativo para Lenovo, ya que está justo saliendo de otro escándalo de seguridad relacionado con este tipo de software. En enero, los investigadores descubrieron que un programa precargado llamado Superfish Visual Discovery fue capaz de inyectar anuncios en el navegador web del usuario. En el proceso, Superfish fue anulando los certificados de seguridad que muchos sitios web utilizan para cifrar sus datos, creando una debilidad que podría hacer que las credenciales bancarias y otra información sensible estuvieran a disposición de los piratas informáticos.

Lenovo finalmente impulsó una actualización que eliminó Superfish desde los PC afectados, y se comprometió a reducir significativamente la cantidad de programas de relleno que se instalan en los ordenadores portátiles y de sobremesa. Aún así, la empresa se enfrenta a una demanda por todo lo sucedido.