Lenovo 安全公告：LEN-76673

潜在影响：权限提升

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2022-0354

摘要描述：

Lenovo System Update 中报告了一个漏洞，可能允许具有交互式系统访问权限的本地用户利用提升权限执行代码。该提升权限仅出现于 2022 年 2 月 25 日之前发布的显示命令提示符窗口的 System Update 软件包安装期间。

Lenovo System Update 还在 Lenovo Vantage、Commercial Vantage 和 Thin Installer 中使用。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

发布日期在 2022 年 2 月 25 日之后的 System Update 软件包不受影响。

对于 2022 年 2 月 25 日之前发布的软件包，Lenovo 建议遵循安全计算实践以防止未经授权的系统访问。 

致谢：

Lenovo 谨对报告此问题的 Daniel Feichter（@VirtualAllocEx，来自 Infosec Tirol）表示感谢。

修订历史：