所属分类 > 病毒与安全 > 漏洞与防护 > 【安全公告】LEN-94532 Lenovo Vantage 组件漏洞

【安全公告】LEN-94532 Lenovo Vantage 组件漏洞

. 2022-11-16 15:21:23 | 知识编号: 205389

故障现象:

Lenovo 安全公告:LEN-94532


潜在影响:权限提升、拒绝服务


严重性


影响范围:Lenovo 特定产品


CVE IDCVE-2022-3700CVE-2022-3701CVE-2022-3702CVE-2022-0353CVE-2022-3698CVE-2022-3699


摘要描述:


Lenovo Vantage 软件组件中发现以下漏洞:


CVE-2022-3700Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个 Time of Check Time of UseTOCTOU)漏洞,该漏洞可能允许本地攻击者删除任意文件。


CVE-2022-3701Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个权限提升漏洞,该漏洞可能允许具有提升权限的本地攻击者执行任意代码。


CVE-2022-3702Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞,该漏洞可能允许本地攻击者在特定条件下删除任意目录的内容。


CVE-2022-0353CVE-2022-3698Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞,该漏洞可能允许具有管理访问权限的本地用户引发系统崩溃。


CVE-2022-3699Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个权限提升漏洞,该漏洞可能允许具有提升权限的本地用户执行代码。


 


解决方案:

针对客户的缓解策略(应采取哪些措施进行自我保护):


Lenovo HardwareScan Plugin 更新到版本 1.3.1.2


Lenovo HardwareScan Addin 更新到版本 2.4.1.1


Lenovo SystemUpdate Plugin 更新到版本 2.0.0.213


Lenovo HardwareScan Plugin SystemUpdate Plugin Lenovo System Interface Foundation 服务自动更新。


要立即开始更新过程,请重新启动计算机。


Lenovo HardwareScanAddin Lenovo Vantage 服务更新。


要验证 Plugin Addin 版本,请执行以下操作:


打开文件资源管理器,找到以下文件,然后右键单击已识别的 .dll 文件,选择属性、详细信息并检查文件版本号:


LenovoHardwareScanPlugin.dll C:\ProgramData\Lenovo\ImController\Plugins\LenovoHardwareScanPlugin\x64\ LenovoHardwareScanPlugin.dll


LenovoSystemUpdatePlugin.dll: C:\ProgramData\Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin\x64\ LenovoSystemUpdatePlugin.dll


LenovoHardwareScanAddin.dll: C:\ProgramData\Lenovo\Vantage\Addins\LenovoHardwareScanAddin\ LenovoHardwareScanAddin.dll


致谢:


Lenovo 谨对报告 CVE-2022-3700CVE-2022-3701 CVE-2022-3702 Nils Ole Timm 表示感谢


Lenovo 谨对报告 CVE-2022-0353 CVE-2022-3698 Gergo Pap(来自 Quadron Research Lab)表示感谢


Lenovo 谨对报告 CVE-2022-3699 Mike Alfaro(来自 Nephosec)表示感谢


修订历史:
















修订版本



日期



描述



1



2022-11-08



初始版本



 


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。