Összefoglaló
Több sérülékenységet azonosítottak a Lenovo System Update-ben, melyek magasabb szintű jogosultság szerzésre adnak lehetőséget a támadóknak.
Leírás
A Lenovo System Update (korábbi nevén ThinkVantage System Update) feladata pont a biztonsági problémák megelőzése lenne. Azonban az általa használt SUService.exe szolgáltatásban sérülékenységet fedeztek fel. Ez a szolgáltatás biztonsági tokenek felhasználásával végzi a hitelesitési és érvényesítési folyamatokat. A sérülékenységet a biztonsági tokenek generálásában fedezték fel, ez pedig lehetőséget biztosít a támadóknak, hogy saját parancsaikat érvényesítsék.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
execute arbitrary codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: support.lenovo.com
CVE-2015-2219 - NVD CVE-2015-2219
CVE-2015-2233 - NVD CVE-2015-2233
CVE-2015-2234 - NVD CVE-2015-2234
CVE-2015-6971 - NVD CVE-2015-6971
CVE-2015-7333 - NVD CVE-2015-7333
CVE-2015-7334 - NVD CVE-2015-7334
CVE-2015-7335 - NVD CVE-2015-7335
CVE-2015-7336 - NVD CVE-2015-7336
CVE-2015-8109 - NVD CVE-2015-8109
CVE-2015-8110 - NVD CVE-2015-8110