Lenovo 安全公告：LEN-2015-011

潜在影响：执行任意代码

重要性：中

摘要：

已发现 Lenovo System Update（前称 ThinkVantage System Update）中存在多个漏洞。Lenovo 发布了新版 Lenovo System Update 软件以解决这些漏洞。

从 Lenovo 服务器下载系统更新文件时，Lenovo System Update 可以对所有这些文件进行验证。但是，如果本地系统包含恶意软件，下载的更新在安装创建race condition之前可能会被改动。最新的 Lenovo System Update 版本可消除这一可能性。

Lenovo System Update 使用一项名为 SUService.exe 的服务来运行系统更新。在认证和验证过程中，此服务只接受与有效的安全令牌一起传递的命令。已发现有关安全令牌生成方式的漏洞，攻击者有可能利用这些漏洞运行命令。最新的 Lenovo System Update 版本可修复这一令牌认证缺陷。

此更新还可解决其他安全问题。

2015 年 7 月 9 日更新：在版本 5.06.0043 中添加新的安全修复程序。

2015 年 10 月 14 日更新：在版本 5.07.0013 中添加其他安全修复程序。

2015 年 11 月 19 日更新：在版本 5.07.0019 中添加其他安全修复程序 - 此更新可修复可能允许未经授权的用户获得管理员级别或系统级别权限的本地权限提升漏洞，还可修复可能导致本地权限提升的临时的管理员帐户漏洞。

应采取哪些措施进行自我保护：

用户应安装 Lenovo System Update 应用程序的最新版本、5.06.0043 版或更高版本。可通过打开 Lenovo System Update 程序来查明当前已安装的版本。打开后，单击屏幕右上角的绿色问号，然后选择“关于”。

关于自动更新和启用自动更新（若已禁用）的信息：

如果启用了默认检查关键更新以自动下载和安装更新，则 Lenovo System Update 将自动进行自我更新。在某些情况下，用户可能已选择禁用自动更新。

如果用户禁用了此应用程序或者不确定是否已禁用此应用程序，则用户应启动 Lenovo System Update 并单击“获取新更新”。然后，在出现有新版 System Update 可用的提示时，单击“确定”。之后，此程序将自动下载可消除此漏洞的更新版本。

关于手动更新的信息：

要手动更新 Lenovo System Update，请从以下 URL 下载最新版本。

注：Windows XP 或 Vista 操作系统配备的 Lenovo System Update 版本已不再受支持。要消除这些操作系统中存在的这一漏洞，建议完全卸载 Lenovo System Update 应用程序。通过单击控制面板中的“添加/删除程序”，选中 Lenovo System Update 并单击“卸载”即可完成。

产品影响：

以下产品可能会受到影响：

• 所有 ThinkPad



• 所有 ThinkCentre



• 所有 ThinkStation



• Lenovo V/B/K/E 系列

致谢：

Lenovo 谨此对以下人员表示感谢：

IOActive 的 Michael Milvich 和 Sofiane Talmat（CVE-­2015-­2219、CVE-­2015-­2233、CVE-­2015-­2234）

Trustwave 的 Martin Rakhmanov（CVE-2015-6971）

腾讯玄武实验室的 Chuanda Ding（https://xlab.tencent.com）（CVE-2015-7333、CVE-2015-7334、CVE-2015-7335、CVE-2015-7336）

IOActive 的 Sofiane Talmat（CVE-2015-8109、CVE-2015-8110）

其他信息和参考资料：

• CVE ID：CVE-­2015-­2219、CVE-­2015-­2233、CVE-­2015-­2234、CVE-2015-6971、CVE-2015-7333、CVE-2015-7334、CVE-2015-7335、CVE-2015-7336、CVE-2015-8109、CVE-2015-8110



• https://www.ioactive.com/labs/advisories.html

修订历史：