Lenovo hibajavítások

CH azonosító

CH-12216

Angol cím

Lenovo bug fixes

Felfedezés dátuma

2015.05.05.

Súlyosság

Közepes

Érintett rendszerek

Lenovo

Érintett verziók

Lenovo B széria
Lenovo E széria
Lenovo K széria
Lenovo V széria
ThinkCentre
ThinkPad
ThinkStation

Összefoglaló

A Lenovo három sebezhetőséget orvosolt egyes számítógépeinek esetében. Ezek jogosulatlan műveletvégrehajtásra, kódfuttatásra, illetve védelmi mechanizmusok megkerülésére is módot adhatnak. A hibák a Lenovo System Update alkalmazáson, illetve szolgáltatáson kereszül használhatóak ki.

Leírás

Az első sebezhetőséget az okozza, hogy a System Update szolgáltatás nem kellően biztonságos módon hozza létre azokat a tokeneket, amelyeket a saját parancsaihoz rendel hozzá. Mivel ezek a tokenek előre megjósolható módon jönnek létre, ezért a támadó a saját parancsait is felruházhatja ezekkel, majd System jogosultsági szinten tudja végrehajtani a nemkívánatos műveleteit.

A második sérülékenység a tanúsítványok esetenkénti nem megfelelő kezelésére vezethető vissza. Mivel a tanúsítványláncok validálása nem tökéletes, ezért a támadó egy hamis tanúsítvány létrehozásával, illetve a kártékony kódjainak aláírásával elérheti, hogy a frissítési folyamat során ne a Lenovo hivatalos alkalmazásai töltődjenek le, hanem az ártalmas kódok. 

A harmadik biztonsági rés pedig a már letöltött frissítések kezelésével hozható összefüggésbe. Ugyanis amikor a System Update letölt egy frissítést, akkor azt egy mindenki számára írható mappába menti le. Miután a System Update ellenőrizte a letöltött fájl hitelességét, a támadó lecserélheti azt a saját kártékony programjára, amit a frissítési szolgáltatás szó nélkül lefuttat abban a hitben, hogy az állomány már ellenőrzött és a Lenovotól származik.

Megoldás

A Lenovo által kiadott frissítések telepítése.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »