您现在的位置:服务与支持频道 >

技术知识库

Lenovo Solution Center 中的权限提升漏洞

文章编号:146607     2016/2/2 15:58:34
故障现象:

Lenovo 安全公告:LEN-4326

潜在影响:权限提升

重要性:

摘要:

已发现 Lenovo Solution Center(LSC)软件中存在漏洞,可能允许远程攻击者或本地用户利用系统权限执行任意代码。我们紧急完成了对此问题的评估,准备了可消除这些漏洞的修复程序并对其进行了测试。这些更新现已发布,可通过下文缓解策略中所述的多个更新渠道进行下载。

Lenovo Solution Center(LSC)是由 Lenovo 创建的一款软件应用程序,允许用户执行诊断功能并快速识别 PC 系统硬件和软件的运行状况、网络连接以及防火墙或反病毒程序等安全功能的存在。

LSC 包括两个组成部分 – 前端用户界面和后端服务流程。后端服务流程 LSCTaskService 可在用户的计算机上运行,即使前端用户界面不运行。

已发现 LSC 的后端服务流程中存在漏洞,可能允许本地用户利用系统级别权限执行任意代码。

此外还存在一个跨站请求伪造(CSRF)漏洞,如果用户在 LSC 后端服务在用户设备上运行时打开恶意 Web 站点或制作的 URL,此漏洞可能使攻击者能够利用上述漏洞。 即使 LSC 用户界面没有运行,用户的计算机仍容易遭受攻击。


解决方案:

如何消除这些漏洞:

Lenovo 发布了适用于不同 Windows 操作系统版本的两个 Lenovo Solution Center 更新版本以解决这些漏洞。Lenovo 通过如下所述的多个渠道提供这些更新,以确保尽可能多的用户获得更新。

1、通过 Lenovo Solution Center 更新:

用户应打开 Lenovo Solution Center,然后将看到一个将 LSC 自动更新到最新版本的提示。

2、通过 Lenovo System Update 实用程序或 Lenovo OneKey Optimizer 实用程序更新

在 Lenovo System Update 中,单击“获取新更新”,并按照提示将您的系统更新为最新的 Lenovo Solution Center 版本。

在 Lenovo OneKey Optimizer 中,单击“更新”,并按照提示将您的系统更新为最新的 Lenovo Solution Center 版本。

3、通过直接下载更新

确定您系统上安装的 Lenovo Solution Center 版本,并单击以下网站中的下载链接。按照自述文件中的说明手动安装更新:https://support.lenovo.com/lenovodiagnosticsolutions/downloads

确定您系统上安装的 Lenovo Solution Center 版本:

Lenovo Solution Center 2.x.x 版本专为 Windows 7、Windows 8 和 Windows 8.1 而设计。如果您已安装 Lenovo Solution Center 2.x.x 版本,请更新到 2.8.006 版本或较新的 2.x.x 版本。

Lenovo Solution Center 3.x.x 版本专为 Windows 10 而设计。如果您已安装 Lenovo Solution Center 3.x.x,请更新到 3.2.002 版本或更高版本。

注:如果您已从 Windows 7、8 或 8.1 迁移到 Windows 10 并在迁移前安装了 Lenovo Solution Center 2.x.x 版本,您仍可安装 2.x.x 版本。在迁移期间,Lenovo Solution Center 不会自动卸载或升级。

要查看您当前的版本号,请打开 Lenovo Solution Center,单击右上角的蓝色问号(如果正在运行 2.x.x 版本)或单击右上角的小写“i”(如果正在运行 3.x.x 版本)。


产品影响:

低于 2.8.006 或 3.2.0002 的 Lenovo Solution Center 版本可能会受到这些漏洞的影响。


其他信息和参考资料:

CVE-2015-8534、CVE-2015-8535、CVE-2015-8536


修订历史:

版本

日期

描述

 2.0

2015 年 12 月 11 日

更新公告,添加 LSC 修复程序版本信息

 1.1

2015 年 12 月 9 日

已更新针对客户的缓解策略

 1.0

2015 年 12 月 3 日

初始版本


声明:联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。

用户反馈:

客户反馈
 有帮助   没有帮助   我找不到我想要的文档 
 站内搜索
 站内浏览
 互联网搜索
 咨询员引导(邮件、短信或者V盘)
 
                                                                                       
如果您对本文章有任何疑问或想进一步了解相关问题,请通过技术论坛进行交流。  
如果这篇文章对您非常有帮助,建议您将当前文章收藏在您的个人文档收藏夹中,便于您下次浏览Think中文网时可以更快捷的找到本文。 
如果您需要其他帮助请访问 联想问吧 也可以通过 在线技术支持 获得技术支持