Lenovo System Update frissítés


2015. november 26. 06:08

CH azonosító

CH-12805

Angol cím

Lenovo System Update updates

Felfedezés dátuma

2015.11.25.

Súlyosság

Közepes

Érintett rendszerek

Lenovo

Érintett verziók

Minden ThinkPad
Minden ThinkCentre
Minden ThinkStation
Lenovo V/B/K/E sorozat

Összefoglaló

Több sérülékenységet azonosítottak a Lenovo System Update-ben, melyek magasabb szintű jogosultság szerzésre adnak lehetőséget a támadóknak. 

Leírás

A Lenovo System Update (korábbi nevén ThinkVantage System Update) feladata pont a biztonsági problémák megelőzése lenne. Azonban az általa használt SUService.exe szolgáltatásban sérülékenységet fedeztek fel. Ez a szolgáltatás  biztonsági tokenek felhasználásával végzi a hitelesitési és érvényesítési folyamatokat. A sérülékenységet a biztonsági tokenek generálásában fedezték fel, ez pedig lehetőséget biztosít a támadóknak, hogy saját parancsaikat érvényesítsék.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

execute arbitrary code

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: support.lenovo.com
CVE-2015-2219 - NVD CVE-2015-2219
CVE-2015-2233 - NVD CVE-2015-2233
CVE-2015-2234 - NVD CVE-2015-2234
CVE-2015-6971 - NVD CVE-2015-6971
CVE-2015-7333 - NVD CVE-2015-7333
CVE-2015-7334 - NVD CVE-2015-7334
CVE-2015-7335 - NVD CVE-2015-7335
CVE-2015-7336 - NVD CVE-2015-7336
CVE-2015-8109 - NVD CVE-2015-8109
CVE-2015-8110 - NVD CVE-2015-8110

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »