Board logo

标题: Lenovo Accelerator Application 不安全的更新机制 [打印本页]

作者: 合肥亮少    时间: 2016-6-8 09:49     标题: Lenovo Accelerator Application 不安全的更新机制

故障现象:

Lenovo 安全公告:LEN-6718

潜在影响:取得本地网络访问权限的攻击者可执行远程代码。

严重性:高

影响范围:下述 Lenovo 产品

摘要描述:

已发现 Lenovo Accelerator Application 软件存在安全漏洞,可能被具备中间人攻击能力的攻击者利用。该漏洞存在于现有的更新机制中:在该机制中,软件会询问 Lenovo 服务器以识别是否有应用程序更新。

Lenovo Accelerator Application 用于加速启动 Lenovo 应用程序,曾安装于某些预装 Windows 10 操作系统的笔记本电脑和台式机中。


解决方案:

应采取哪些措施进行自我保护:

Lenovo 建议客户卸载 Lenovo Accelerator Application,方法是访问 Windows 10 中的“Apps and Features”应用程序,选中 Lenovo Accelerator Application,然后单击“卸载”。

产品影响:

Lenovo Accelerator Application 曾安装于某些客户预装 Windows 10 操作系统的笔记本电脑和台式机中。

Lenovo Accelerator Application 从未安装于 ThinkPad 或 ThinkStation 设备中。

受影响的 Lenovo 笔记本电脑系统:

305

700

300S

500/500S

B40-30/B40-45/B40-45/B40-80

B41-30/B41-35/B41-80

B50-30/B50-30 Touch/B50-45/B50-80/B51-30/B51-35/B51-80

E31-70/E31-80/E40-30/E40-80/E41-80/E50-30/E50-80/E51-80

Edge 15

Edge 2-1580

Erazer N40-30/Erazer N40-45

Erazer N50-45/Erazer N50-45

Erazer Z41-70

Erazer Z51-70

FLEX 2 Pro

FLEX 3

FLEX 4

K20-80

K21-80

K41-70/K41-80

M41-70

M51-80

MIIX 3

MIIX 700

N41-35

N51-35

S21e-20

S41-35/S41-70/S41-75

TianYi 300

U31-70

U41-70

V4000

XiaoXin 700

Y50-70/Y50-70 Touch

Y50c

Y700/Y700 Touch

Y70-70 Touch

Y900

Yoga 2

YOGA 3 14

Yoga 3 Pro

Yoga 300

YOGA 500/YOGA 510

YOGA 700/YOGA 710/YOGA 900/YOGA 900S

Z41-70

Z51-70

受影响的 Lenovo 台式机系统:

50050C/50100E/50550A/50600I

A3300

A7300

A8150

B40

C20

C40

C50

C560

D3000

D5010/ D5050/ D5055

F5005/ F5050/ F5055

G5005/ G5010/ G5050/ G5055

H3005

H30-50

H5005/ H5055

H50-50

IdeaCentre 200

IdeaCentre 300/300S

IdeaCentre 510/510S

IdeaCentre 700

M7300z

M8300z/M8350z

M9550z

Yoga Home 500


备注:

致谢:

Lenovo 特此感谢 Duo Security 高级安全研究员 Mikhail Davidov 报告该漏洞。

其他信息和参考资料:E-2016-3944

Duo Labs, Out-of-Box Exploitation: A Security Analysis of OEM Updaters

修订历史:

版本:1.0

日期:2016.5.31

描述:初始版本






欢迎光临 合肥本本之星 合肥Thinkpad专卖店 合肥Apple专卖店 hfthink 合肥本之星信息科技有限公司 (http://hfthink.com/) Powered by Discuz! 7.2