Lenovo Service Bridge包含越权漏洞和其他漏洞-联想乐享知识库

Lenovo Service Bridge包含越权漏洞和其他漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-10149 潜在影响：本地权限提升、跨站请求伪造、不安全连接、可能插入伪造代码签名证书 严重性：高 影响范围：Lenovo 特有的产品 CVE ID：CVE-2016-8228、CVE-2016-8229、CVE-2016-8230、CVE-2016-8231 摘要描述： 内部调查期间，Lenovo 发现 Lenovo Service Bridge（LSB）中存在多个漏洞，如下所示： 1、具有系统本地权限的用户可用管理权限执行代码（CVE-2016-8228） 2、对于安装了 LSB 的系统，如果攻击者对系统使用的 DHCP 服务器拥有访问权限，则其可利用跨站请求伪造漏洞进行攻击（CVE-2016-8229）。 3、LSB 使用不安全的 HTTP 连接向 Lenovo 服务器发送系统序列号、机器类型和型号以及产品名称（CVE-2016-8230） 4、代码签名证书的签名验证逻辑存在漏洞，攻击者可能利用它插入伪造的代码签名证书。（CVE-2016-8231） Lenovo Service Bridge（LSB.exe）是在 Windows 下运行的一个实用软件程序，该程序可通过 Lenovo 支持 Web 站点下载，用于自动检测计算机的序列号、机器类型和型号。这些信息将被发送到 Lenovo 服务器，从而在获取支持时不再需要搜索或浏览这些产品信息。解决方案: 应采取哪些措施进行自我保护： 如果系统上已安装 Lenovo Service Bridge，它将自动更新。此问题在版本 4 及更高版本中已修复。用户可手动进行更新，方法是访问 http://pcsupport.lenovo.com，然后单击“Detect my Serial Number（检测我的序列号）”查看 Lenovo Service Bridge 的简介、条款和条件，以及下载选项。 当更新可用时，如果反病毒程序（例如 Symantec）弹出有新软件更新可用的消息，请务必选择“安装”。 产品影响： 如果之前从 Lenovo 支持站点下载了 Lenovo Service Bridge，您的 IdeaPad、IdeaCentre、Lenovo Tab（Windows）、ThinkCentre、ThinkPad、ThinkStation 或 Yoga 系统可能会受到影响。 其他信息和参考资料： https://support.lenovo.com/us/en/documents/ht104055 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。