Lenovo Solution Centerに複数の脆弱性

LenovoのPC向けに提供されている「Lenovo Solution Center」に複数の脆弱性が発見されたとJVNが発表しました。

 

脆弱性タイプ

アクセス権の不適切な割り当て

ディレクトリトラバーサル

クロスサイトリクエストフォージェリ (CSRF)

 

想定被害

攻撃者がこの脆弱性を悪用することによりSYSTEM 権限でコードを実行することができます。

 

発見されたシステム・バージョン

「Lenovo Solution Center」

※ただ、これらの脆弱性は「Lenovo Solution Center」を起動することにより成立すると考えられております。それは「Lenovo Solution Center」を起動すると「LSCTaskService」 プロセスが起動するのですが、それに脆弱性が存在すると考えられているからです。

 

対応方法

現実的な対策方法は今のところ不明の為、以下の方法にて対処すべきです。

  • 実行中の「Lenovo Solution Center 」を終了する
  • 「Lenovo Solution Center」をアンインストールする

※削除したり終了する方法しかなさそうです。。。

 

こちらのサービスはLenovo製品のシステム、セキュリティなどの状態を通知してくれる?サービスのようですが、製品名でググると関連キーワードに「いらない」とか「必要性」とか「アンインストール」なんてネガティブな言葉がずらっと並んでいることからそんなに愛されていなかったのかなって思いました。

 

対応方法見てもらえばわかりますが、今のところ消すしかなさそうです。複数の深刻な脆弱性が存在していることから、本サービス起動中の方は現実的な対応策が発表されるまでは停止されることをお勧めします。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています