Lenovo Solution Centerに複数の脆弱性

LenovoのPC向けに提供されている「Lenovo Solution Center」に複数の脆弱性が発見されたとJVNが発表しました。

 

脆弱性タイプ

アクセス権の不適切な割り当て

ディレクトリトラバーサル

クロスサイトリクエストフォージェリ (CSRF)

 

想定被害

攻撃者がこの脆弱性を悪用することによりSYSTEM 権限でコードを実行することができます。

 

発見されたシステム・バージョン

「Lenovo Solution Center」

※ただ、これらの脆弱性は「Lenovo Solution Center」を起動することにより成立すると考えられております。それは「Lenovo Solution Center」を起動すると「LSCTaskService」 プロセスが起動するのですが、それに脆弱性が存在すると考えられているからです。

 

対応方法

現実的な対策方法は今のところ不明の為、以下の方法にて対処すべきです。

  • 実行中の「Lenovo Solution Center 」を終了する
  • 「Lenovo Solution Center」をアンインストールする

※削除したり終了する方法しかなさそうです。。。

 

こちらのサービスはLenovo製品のシステム、セキュリティなどの状態を通知してくれる?サービスのようですが、製品名でググると関連キーワードに「いらない」とか「必要性」とか「アンインストール」なんてネガティブな言葉がずらっと並んでいることからそんなに愛されていなかったのかなって思いました。

 

対応方法見てもらえばわかりますが、今のところ消すしかなさそうです。複数の深刻な脆弱性が存在していることから、本サービス起動中の方は現実的な対応策が発表されるまでは停止されることをお勧めします。

 

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2022年8月24日

Movable TypeのXMLRPC APIにコマンドインジェクションの脆弱性

2021年12月13日

Java用のログ出力ライブラリ「Log4j」にリモートコード実行の脆弱性

2021年12月2日

Movable TypeのXMLRPC APIにOSコマンドインジェクションの脆弱性