Lenovo 安全公告：LEN-22172

潜在影响：设备的根访问权限

严重性：中

影响范围：Lenovo Smart Assistant

CVE ID：CVE-2018-9070

摘要描述：

Lenovo Smart Assistant 是由 Lenovo 开发的一款支持 Amazon Alexa 的智能扬声器。具有智能扬声器物理访问权限的攻击者可以通过按特定的按键顺序进入旨在测试此设备的出厂测试模式并启用 Web 服务。与大部分测试模式类似，此方法可以提供额外的权限，包括更改设置和运行代码。

应采取哪些措施进行自我保护：

Lenovo 已经通过常用的 OTA 过程（无线）自动将固件更新至版本 12.1.82。您可以使用 Lenovo Link 应用程序确认是否拥有此版本或更高版本。在应用程序菜单中“设置”的下面，此版本会显示为“固件自动升级 v12.1.82。”

致谢：

Lenovo 感谢 Pangu 实验室的 Wen Guanxing 报告此问题。

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。