Lenovo 安全公告：LEN-30401

潜在影响：权限提升、密码签名验证不当

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2020-8316、CVE-2020-8318、CVE-2020-8319、CVE-2020-8324、CVE-2020-8327

摘要描述：

已向 Lenovo 报告 Lenovo Vantage 或 Lenovo Vantage 的组件 Lenovo System Interface Foundation 中存在下列漏洞。

CVE-2020-8316：Lenovo Vantage 中报告了一个漏洞，该漏洞可能允许经过认证的用户通过提升权限读取系统中的文件。

CVE-2020-8318：适用于 Lenovo System Interface Foundation 的 LenovoSystemUpdatePlugin 中报告了一个权限提升漏洞，该漏洞可能允许经过认证的用户通过提升权限执行代码。

CVE-2020-8319：适用于 Lenovo System Interface Foundation 中报告了一个权限提升漏洞，该漏洞可能允许经过认证的用户通过提升权限执行代码。

CVE-2020-8324：适用于 Lenovo System Interface Foundation 的 LenovoAppScenarioPluginSystem 中报告了一个漏洞，该漏洞可能允许执行未签名的 DLL 文件。

CVE-2020-8327：适用于 Lenovo System Interface Foundation 的 LenovoBatteryGaugePackage 中报告了一个权限提升漏洞，该漏洞可能允许经过认证的用户通过提升权限执行代码。

应采取哪些措施进行自我保护：

要更新 Vantage 及其 Lenovo System Interface Foundation 组件，请执行以下步骤：

1) 通过 Microsoft Store 将 Lenovo Vantage 更新到版本 10.2003.10.0。

2) 重新启动 Lenovo Vantage 完成更新。

致谢：

CVE-2020-8318、CVE-2020-8319、CVE-2020-8324：Lenovo 谨对报告这些问题的 Pen Test Partners 的 Ceri Coburn 表示感谢。

CVE-2020-8316：Lenovo 谨对报告此问题的 T Shiomitsu 表示感谢。

CVE-2020-8327：Lenovo 谨对报告此问题的 Jonas Lykkegård 表示感谢。