您现在的位置:服务与支持频道 >

技术知识库

Lenovo System Update 权限提升

文章编号:146598     2016/2/2 17:00:23
故障现象:

Lenovo 安全公告:LEN-2015-011

潜在影响:执行任意代码

重要性:

摘要:

已发现 Lenovo System Update(前称 ThinkVantage System Update)中存在多个漏洞。Lenovo 发布了新版 Lenovo System Update 软件以解决这些漏洞。

从 Lenovo 服务器下载系统更新文件时,Lenovo System Update 可以对所有这些文件进行验证。但是,如果本地系统包含恶意软件,下载的更新在安装创建race condition之前可能会被改动。最新的 Lenovo System Update 版本可消除这一可能性。

Lenovo System Update 使用一项名为 SUService.exe 的服务来运行系统更新。在认证和验证过程中,此服务只接受与有效的安全令牌一起传递的命令。已发现有关安全令牌生成方式的漏洞,攻击者有可能利用这些漏洞运行命令。最新的 Lenovo System Update 版本可修复这一令牌认证缺陷。

此更新还可解决其他安全问题。

2015 年 7 月 9 日更新:在版本 5.06.0043 中添加新的安全修复程序。

2015 年 10 月 14 日更新:在版本 5.07.0013 中添加其他安全修复程序。

2015 年 11 月 19 日更新:在版本 5.07.0019 中添加其他安全修复程序 - 此更新可修复可能允许未经授权的用户获得管理员级别或系统级别权限的本地权限提升漏洞,还可修复可能导致本地权限提升的临时的管理员帐户漏洞。


解决方案:

应采取哪些措施进行自我保护:

用户应安装 Lenovo System Update 应用程序的最新版本、5.06.0043 版或更高版本。可通过打开 Lenovo System Update 程序来查明当前已安装的版本。打开后,单击屏幕右上角的绿色问号,然后选择“关于”。

关于自动更新和启用自动更新(若已禁用)的信息:

如果启用了默认检查关键更新以自动下载和安装更新,则 Lenovo System Update 将自动进行自我更新。在某些情况下,用户可能已选择禁用自动更新。

如果用户禁用了此应用程序或者不确定是否已禁用此应用程序,则用户应启动 Lenovo System Update 并单击“获取新更新”。然后,在出现有新版 System Update 可用的提示时,单击“确定”。之后,此程序将自动下载可消除此漏洞的更新版本。

关于手动更新的信息:

要手动更新 Lenovo System Update,请从以下 URL 下载最新版本。

注:Windows XP 或 Vista 操作系统配备的 Lenovo System Update 版本已不再受支持。要消除这些操作系统中存在的这一漏洞,建议完全卸载 Lenovo System Update 应用程序。通过单击控制面板中的“添加/删除程序”,选中 Lenovo System Update 并单击“卸载”即可完成。

产品影响:

以下产品可能会受到影响:

  • 所有 ThinkPad
  • 所有 ThinkCentre
  • 所有 ThinkStation
  • Lenovo V/B/K/E 系列

备注:

致谢:

Lenovo 谨此对以下人员表示感谢:

IOActive 的 Michael Milvich 和 Sofiane Talmat(CVE-­2015-­2219、CVE-­2015-­2233、CVE-­2015-­2234)

Trustwave 的 Martin Rakhmanov(CVE-2015-6971)

腾讯玄武实验室的 Chuanda Ding(http://xlab.tencent.com)(CVE-2015-7333、CVE-2015-7334、CVE-2015-7335、CVE-2015-7336)

IOActive 的 Sofiane Talmat(CVE-2015-8109、CVE-2015-8110)

其他信息和参考资料:

  • CVE ID:CVE-­2015-­2219、CVE-­2015-­2233、CVE-­2015-­2234、CVE-2015-6971、CVE-2015-7333、CVE-2015-7334、CVE-2015-7335、CVE-2015-7336、CVE-2015-8109、CVE-2015-8110
  • http://www.ioactive.com/labs/advisories.html

修订历史:

版本

日期

描述

 1.4

2015 年 11 月 19 日

发布新版 System Update 5.07.0019,其中包括其他安全修复程序

 1.3

2015 年 10 月 14 日

发布新版 System Update 5.07.0013,其中包括其他安全修复程序

 1.2

2015 年 7 月 9 日

发布新版 System Update 5.06.0043,其中包括其他安全修复程序

 1.1

2015 年 5 月 11 日

提供其他更新信息

 1.0

2015 年 4 月 14 日

初始版本


声明:联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。

用户反馈:

客户反馈
 有帮助   没有帮助   我找不到我想要的文档 
 站内搜索
 站内浏览
 互联网搜索
 咨询员引导(邮件、短信或者V盘)
 
                                                                                       
如果您对本文章有任何疑问或想进一步了解相关问题,请通过技术论坛进行交流。  
如果这篇文章对您非常有帮助,建议您将当前文章收藏在您的个人文档收藏夹中,便于您下次浏览Think中文网时可以更快捷的找到本文。 
如果您需要其他帮助请访问 联想问吧 也可以通过 在线技术支持 获得技术支持