Lenovo 安全公告：LEN-27431

潜在影响：权限提升

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2019-6173、CVE-2019-6196

摘要描述：

DLL 搜索路径和符号链接漏洞可能仅在安装期间导致在某些 Lenovo 安装软件包中发生权限升级。已安装的软件不受这些问题的影响。

CVE-2019-6173：如果攻击者已经具有管理特权，则 DLL 搜索路径漏洞可能会在安装过程中导致在某些 Lenovo 安装软件包中发生权限升级。

CVE-2019-6196：某些 Lenovo 安装软件包中的符号链接漏洞可能会在文件提取和安装期间允许进行特权文件操作。

应采取哪些措施进行自我保护：

注意：这些漏洞仅在软件安装过程中被利用。如果不安装软件，则不会受到此问题的影响。

为缓解这些漏洞的危害，Lenovo 建议通过 Lenovo Vantage、Lenovo System Update 或 Windows Update 安装 Lenovo 软件更新。通过 Update Retriever、Thin Installer 和 System Update 安装的更新也不受影响。

如果系统管理员想要缓解已构建的自动更新脚本的危害，可采取此处提供的建议步骤。

与往常一样，为防止潜在的攻击者获得管理特权，建议用户通过良好的安全性实践进行自我保护，例如更新防病毒软件，仅使用安全的 Internet 连接且不要点击未知的链接或网页。

致谢：

Lenovo 感谢 CyberArk Labs 的 Eran Shimony 报告此问题。

参考资料：

安装程序补丁的源代码：https://github.com/lenovoinc/issrc/tree/DLL_Injection_TempDir_fix

修订历史：