Lenovo 安全公告：LEN-94532

潜在影响：权限提升、拒绝服务

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2022-3700、CVE-2022-3701、CVE-2022-3702、CVE-2022-0353、CVE-2022-3698、CVE-2022-3699

摘要描述：

Lenovo Vantage 软件组件中发现以下漏洞：

CVE-2022-3700：Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个 Time of Check Time of Use（TOCTOU）漏洞，该漏洞可能允许本地攻击者删除任意文件。

CVE-2022-3701：Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个权限提升漏洞，该漏洞可能允许具有提升权限的本地攻击者执行任意代码。

CVE-2022-3702：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞，该漏洞可能允许本地攻击者在特定条件下删除任意目录的内容。

CVE-2022-0353、CVE-2022-3698：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞，该漏洞可能允许具有管理访问权限的本地用户引发系统崩溃。

CVE-2022-3699：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个权限提升漏洞，该漏洞可能允许具有提升权限的本地用户执行代码。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

将 Lenovo HardwareScan Plugin 更新到版本 1.3.1.2

将 Lenovo HardwareScan Addin 更新到版本 2.4.1.1

将 Lenovo SystemUpdate Plugin 更新到版本 2.0.0.213

Lenovo HardwareScan Plugin 和 SystemUpdate Plugin 由 Lenovo System Interface Foundation 服务自动更新。

要立即开始更新过程，请重新启动计算机。

Lenovo HardwareScanAddin 由 Lenovo Vantage 服务更新。

要验证 Plugin 和 Addin 版本，请执行以下操作：

打开文件资源管理器，找到以下文件，然后右键单击已识别的 .dll 文件，选择属性、详细信息并检查文件版本号：

LenovoHardwareScanPlugin.dll C:\\ProgramData\\Lenovo\\ImController\\Plugins\\LenovoHardwareScanPlugin\\x64\\ LenovoHardwareScanPlugin.dll

LenovoSystemUpdatePlugin.dll: C:\\ProgramData\\Lenovo\\ImController\\Plugins\\LenovoSystemUpdatePlugin\\x64\\ LenovoSystemUpdatePlugin.dll

LenovoHardwareScanAddin.dll: C:\\ProgramData\\Lenovo\\Vantage\\Addins\\LenovoHardwareScanAddin\\ LenovoHardwareScanAddin.dll

致谢：

Lenovo 谨对报告 CVE-2022-3700、CVE-2022-3701 和 CVE-2022-3702 的 Nils Ole Timm 表示感谢

Lenovo 谨对报告 CVE-2022-0353 和 CVE-2022-3698 的 Gergo Pap（来自 Quadron Research Lab）表示感谢

Lenovo 谨对报告 CVE-2022-3699 的 Mike Alfaro（来自 Nephosec）表示感谢

修订历史：