Lenovo 安全公告：LEN-2015-033

潜在影响：权限提升

重要性：高

摘要：

ThinkVantage Access Connections 包含一个漏洞，利用此漏洞可能会允许本地用户提升其权限级别。

描述：

拥有设备本地访问权限的用户可能会利用此漏洞。ThinkVantage Access Connections 中使用的一项服务尝试以某种方式加载 DLL，这可能会允许标准用户利用提升权限在主机上运行代码。只有在该用户能够将 DLL 写入到其 PATH 系统变量中的目录时，这种情况才可能发生。

解决方案:

应采取哪些措施进行自我保护：

将 ThinkVantage Access Connections 更新到最新的 6.25.65 版本或更高版本。

要确定当前安装的版本，请执行以下操作：

1、启动 ThinkVantage Access Connections。此时将显示主屏幕。

2、在菜单栏中，单击“帮助”，然后单击“关于 Access Connections”。“ThinkVantage Access Connections”旁将显示当前安装的版本。

对于 Windows 7，可通过以下链接获取更新：

https://support.lenovo.com/us/en/downloads/ds013683

下载 README 文件，并按照说明更新到 Access Connections 的最新版本。

产品影响：

6.25.65 以下版本的 ThinkVantage Access Connections

备注:

致谢：

我们谨此对报告此漏洞的 7Safe 的 Owen Shearing 表示感谢！

修订历史：