联想在PC支持工具中修复了两个高严重程度的缺陷
发布时间:2023-02-22 15:17:17 所属栏目:要闻 来源:
导读:联想在Lenovo解决方案中心支持工具中修复了两种高度严重性漏洞,在许多笔记本和桌面计算机上都可以预装此工具。缺陷可以允许攻击者接管计算机并终止防病毒流程。
联想解决方案中心(LSC)允许用户检查其系统的病毒
联想解决方案中心(LSC)允许用户检查其系统的病毒
|
联想在Lenovo解决方案中心支持工具中修复了两种高度严重性漏洞,在许多笔记本和桌面计算机上都可以预装此工具。缺陷可以允许攻击者接管计算机并终止防病毒流程。 联想解决方案中心(LSC)允许用户检查其系统的病毒和防火墙状态,更新他们的Lenovo软件,执行备份,检查电池运行状况,获取注册和保修信息并进行硬件测试。 来自TrustWave的安全研究人员发现了两种新的漏洞,被追踪为CVE-2016-5249和CVE-2016-5248和CVE-2016-5248,由TrustWave的安全研究人员发现。它们影像LSC版本3.3.002及更早版本。 CVE-2016-5249漏洞允许攻击者已经在PC上控制了一个有限的帐户,以通过没有用户特权的LocalSystem帐户远程控制执行任务的恶意代码。 许可升级漏洞不能用自己来妥卸计算机,而是通常用于漏洞链接。由于现代操作系统的安全性改进,远程代码执行漏洞Don“T始终为攻击者提供完全控制影响的系统,并且需要与特权升级漏洞结合使用。 由于LSC.Services.ServiceService组件中的功能,任何本地用户都可以将通信管道打开到服务并强制执行任意.NET代码。由于此LSC服务在LocalSystem帐户下运行,因此Rogue码也将使用LocalSystem权限执行。 第二个漏洞CVE-2016-5248允许任何本地用户向LSC.Services.SystemService向LSC.Services.Service发送命令才能杀死系统上的任何其他进程,但特权。例如,目标过程可以属于防病毒程序或其他安全产品。 联想建议用户升级到LSC版本3.3.003。这可以通过同意自动更新提示,从单独的Lenovo系统更新实用程序或手动下载最新版本的LSC来完成。 这不是第一次在LSC中找到严重缺陷。然而,联想似乎通过释放补丁和出版安全建议时及时响应此类漏洞。在最近对计算机上预加载的更新工具的安全分析,LSC被发现拥有最安全的实现之一。这个新功能允许用户在不知情的情况下修改系统配置文件,从而导致系统崩溃。但是,lsc并没有提供任何有关如何避免这种情况的指导。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐