Lenovo 安全公告：LEN-4326

潜在影响：权限提升

重要性：高

摘要：

已发现 Lenovo Solution Center（LSC）软件中存在漏洞，可能允许远程攻击者或本地用户利用系统权限执行任意代码。我们紧急完成了对此问题的评估，准备了可消除这些漏洞的修复程序并对其进行了测试。这些更新现已发布，可通过下文缓解策略中所述的多个更新渠道进行下载。

Lenovo Solution Center（LSC）是由 Lenovo 创建的一款软件应用程序，允许用户执行诊断功能并快速识别 PC 系统硬件和软件的运行状况、网络连接以及防火墙或反病毒程序等安全功能的存在。

LSC 包括两个组成部分 – 前端用户界面和后端服务流程。后端服务流程 LSCTaskService 可在用户的计算机上运行，即使前端用户界面不运行。

已发现 LSC 的后端服务流程中存在漏洞，可能允许本地用户利用系统级别权限执行任意代码。

此外还存在一个跨站请求伪造（CSRF）漏洞，如果用户在 LSC 后端服务在用户设备上运行时打开恶意 Web 站点或制作的 URL，此漏洞可能使攻击者能够利用上述漏洞。 即使 LSC 用户界面没有运行，用户的计算机仍容易遭受攻击。

如何消除这些漏洞：

Lenovo 发布了适用于不同 Windows 操作系统版本的两个 Lenovo Solution Center 更新版本以解决这些漏洞。Lenovo 通过如下所述的多个渠道提供这些更新，以确保尽可能多的用户获得更新。

1、通过 Lenovo Solution Center 更新：

用户应打开 Lenovo Solution Center，然后将看到一个将 LSC 自动更新到最新版本的提示。

2、通过 Lenovo System Update 实用程序或 Lenovo OneKey Optimizer 实用程序更新

在 Lenovo System Update 中，单击“获取新更新”，并按照提示将您的系统更新为最新的 Lenovo Solution Center 版本。

在 Lenovo OneKey Optimizer 中，单击“更新”，并按照提示将您的系统更新为最新的 Lenovo Solution Center 版本。

3、通过直接下载更新

确定您系统上安装的 Lenovo Solution Center 版本，并单击以下网站中的下载链接。按照自述文件中的说明手动安装更新：https://support.lenovo.com/lenovodiagnosticsolutions/downloads

确定您系统上安装的 Lenovo Solution Center 版本：

Lenovo Solution Center 2.x.x 版本专为 Windows 7、Windows 8 和 Windows 8.1 而设计。如果您已安装 Lenovo Solution Center 2.x.x 版本，请更新到 2.8.006 版本或较新的 2.x.x 版本。

Lenovo Solution Center 3.x.x 版本专为 Windows 10 而设计。如果您已安装 Lenovo Solution Center 3.x.x，请更新到 3.2.002 版本或更高版本。

注：如果您已从 Windows 7、8 或 8.1 迁移到 Windows 10 并在迁移前安装了 Lenovo Solution Center 2.x.x 版本，您仍可安装 2.x.x 版本。在迁移期间，Lenovo Solution Center 不会自动卸载或升级。

要查看您当前的版本号，请打开 Lenovo Solution Center，单击右上角的蓝色问号（如果正在运行 2.x.x 版本）或单击右上角的小写“i”（如果正在运行 3.x.x 版本）。

产品影响：

低于 2.8.006 或 3.2.0002 的 Lenovo Solution Center 版本可能会受到这些漏洞的影响。

其他信息和参考资料：

CVE-2015-8534、CVE-2015-8535、CVE-2015-8536

修订历史：