【安全公告】LEN-94532 Lenovo Vantage 组件漏洞-联想乐享知识库

【安全公告】LEN-94532 Lenovo Vantage 组件漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-94532 潜在影响：权限提升、拒绝服务 严重性：高 影响范围：Lenovo 特定产品 CVE ID：CVE-2022-3700、CVE-2022-3701、CVE-2022-3702、CVE-2022-0353、CVE-2022-3698、CVE-2022-3699 摘要描述： Lenovo Vantage 软件组件中发现以下漏洞： CVE-2022-3700：Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个 Time of Check Time of Use（TOCTOU）漏洞，该漏洞可能允许本地攻击者删除任意文件。 CVE-2022-3701：Lenovo System Update Plugin 版本 2.0.0.212 及更低版本中报告了一个权限提升漏洞，该漏洞可能允许具有提升权限的本地攻击者执行任意代码。 CVE-2022-3702：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞，该漏洞可能允许本地攻击者在特定条件下删除任意目录的内容。 CVE-2022-0353、CVE-2022-3698：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个拒绝服务漏洞，该漏洞可能允许具有管理访问权限的本地用户引发系统崩溃。 CVE-2022-3699：Lenovo HardwareScanPlugin 版本 1.3.0.5 及更低版本中报告了一个权限提升漏洞，该漏洞可能允许具有提升权限的本地用户执行代码。 解决方案: 针对客户的缓解策略（应采取哪些措施进行自我保护）： 将 Lenovo HardwareScan Plugin 更新到版本 1.3.1.2 将 Lenovo HardwareScan Addin 更新到版本 2.4.1.1 将 Lenovo SystemUpdate Plugin 更新到版本 2.0.0.213 Lenovo HardwareScan Plugin 和 SystemUpdate Plugin 由 Lenovo System Interface Foundation 服务自动更新。 要立即开始更新过程，请重新启动计算机。 Lenovo HardwareScanAddin 由 Lenovo Vantage 服务更新。 要验证 Plugin 和 Addin 版本，请执行以下操作： 打开文件资源管理器，找到以下文件，然后右键单击已识别的 .dll 文件，选择属性、详细信息并检查文件版本号： LenovoHardwareScanPlugin.dll C:\\ProgramData\\Lenovo\\ImController\\Plugins\\LenovoHardwareScanPlugin\\x64\\ LenovoHardwareScanPlugin.dll LenovoSystemUpdatePlugin.dll: C:\\ProgramData\\Lenovo\\ImController\\Plugins\\LenovoSystemUpdatePlugin\\x64\\ LenovoSystemUpdatePlugin.dll LenovoHardwareScanAddin.dll: C:\\ProgramData\\Lenovo\\Vantage\\Addins\\LenovoHardwareScanAddin\\ LenovoHardwareScanAddin.dll 致谢： Lenovo 谨对报告 CVE-2022-3700、CVE-2022-3701 和 CVE-2022-3702 的 Nils Ole Timm 表示感谢 Lenovo 谨对报告 CVE-2022-0353 和 CVE-2022-3698 的 Gergo Pap（来自 Quadron Research Lab）表示感谢 Lenovo 谨对报告 CVE-2022-3699 的 Mike Alfaro（来自 Nephosec）表示感谢 修订历史： 修订版本 日期 描述 1 2022-11-08 初始版本