- 2015年12月8日
- その他脆弱性情報
Lenovo Solution Centerに複数の脆弱性
LenovoのPC向けに提供されている「Lenovo Solution Center」に複数の脆弱性が発見されたとJVNが発表しました。
脆弱性タイプ
アクセス権の不適切な割り当て
ディレクトリトラバーサル
クロスサイトリクエストフォージェリ (CSRF)
想定被害
攻撃者がこの脆弱性を悪用することによりSYSTEM 権限でコードを実行することができます。
発見されたシステム・バージョン
「Lenovo Solution Center」
※ただ、これらの脆弱性は「Lenovo Solution Center」を起動することにより成立すると考えられております。それは「Lenovo Solution Center」を起動すると「LSCTaskService」 プロセスが起動するのですが、それに脆弱性が存在すると考えられているからです。
対応方法
現実的な対策方法は今のところ不明の為、以下の方法にて対処すべきです。
- 実行中の「Lenovo Solution Center 」を終了する
- 「Lenovo Solution Center」をアンインストールする
※削除したり終了する方法しかなさそうです。。。
こちらのサービスはLenovo製品のシステム、セキュリティなどの状態を通知してくれる?サービスのようですが、製品名でググると関連キーワードに「いらない」とか「必要性」とか「アンインストール」なんてネガティブな言葉がずらっと並んでいることからそんなに愛されていなかったのかなって思いました。
対応方法見てもらえばわかりますが、今のところ消すしかなさそうです。複数の深刻な脆弱性が存在していることから、本サービス起動中の方は現実的な対応策が発表されるまでは停止されることをお勧めします。