Компания Lenovo исправила две опасных уязвимости в своем продукте Solution Center в рамках обновления LEN-7814. Lenovo Solution Center представляет из себя специальное приложение Lenovo, которое используется для настройки производительности и удобства работы с продуктами семейства Think. С его помощью пользователи могут осуществлять мониторинг работоспособности, состояния сетевых подключений и общей безопасности системы. Приложение поставляется с компьютерами производства Lenovo. Обновлению подлежат все версии приложения младше 3.3.003.
Обновление закрывает две уязвимости, одну с идентификатором CVE-2016-5248 типа Local Privilege Escalation (LPE) и другую CVE-2016-5249 типа RCE+LPE. С использованием первой уязвимости атакующий с правами обычного пользователя может завершать в системе процессы с более высоким уровнем привилегий. Вторая уязвимость намного опаснее, поскольку позволяет атакующим удаленно исполнить код в системе под учетной записью с максимальными правами LocalSystem. В случае с первой уязвимостью, атакующему предварительно нужно получить доступ к системе, после чего он уже может использовать эксплойт для завершения процессов.
Lenovo Security Advisory: LEN-7814
Potential Impact: Arbitrary process termination or code execution by unprivileged local users
Severity: High
Scope of Impact: Lenovo specificSummary Description:
Local privilege escalation vulnerabilities were identified in Lenovo Solution Center where unprivileged local users could terminate processes running at higher privilege levels (CVE-2016-5248) or execute arbitrary code (CVE-2016-5249) with LocalSystem account privileges.
Установить обновление для Lenovo Solution Center можно тремя способами. Первый заключается в использовании встроенной возможности автообновлений Solution Center, при этом программа сама отобразит пользователю сообщение об обновлении. Второй способ заключается в использовании инструмента Lenovo System Update utility. Третий способ подразумевает собой прямую загрузку обновленной версии программы с веб-сайта Lenovo по этой ссылке.
be secure.
Автор: ESET NOD32
