Lenovo hibajavítás

CH azonosító

CH-13221

Angol cím

Privilege Escalation Vulnerabilities within Lenovo Solution Center

Felfedezés dátuma

2016.05.08.

Súlyosság

Magas

Érintett rendszerek

Lenovo

Érintett verziók

Lenovo Solution Center (LSC)

Összefoglaló

A Lenovo Solution Center (LSC) PC diagnosztikai szoftver magas veszélyességi kategóriába tartozó sérülékenységeket tartalmaz. Ezek kihasználásával a támadók tetszőleges kódokkal élhetnek vissza az érintett rendszereken, és ilyen módon nemkívánatos műveleteket hajthatnak végre.

Leírás

Az LSC alapvetően két komponensből épül fel: egy felhasználói felületből és egy háttérszolgáltatásból. A probléma ez utóbbi kapcsán merült fel, ugyanis az LSCTaskService nevű szolgáltatás a sérülékenységek révén rávehető kódfuttatásra, méghozzá SYSTEM jogosultsági szinten. Ráadásul egy CSRF (Cross-Site Request Forgery) hiba miatt a biztonsági rendellenesség akár weboldalak vagy speciálisan szeresztett URL-ek révén is kihasználhatóvá válhat. 

A Lenovo szerint a hibák akkor is veszélyt jelentenek, ha a felhasználói felületet biztosító (frontend) összetevő nem fut.

Megoldás

Az LSC alkalmazás 3.3.002-es vagy annal újabb verziójának használata.