Lenovo 安全公告：LEN-15823

潜在影响：权限提升

严重性：中

影响范围：Lenovo 特有的产品

CVE ID：CVE-2017-3748、CVE-2017-3749、CVE-2017-3750

摘要描述：

已发现 Lenovo VIBE 手机上存在若干漏洞，用户或攻击者如果物理持有不受安全锁屏界面（如 PIN/密码）保护的设备，可能可将权限提升到根用户（通常称为“获取设备 root 权限”或“越狱”），从而可用各种方式修改设备的操作和功能。

1. CVE-2017-3748 - 恶意利用 nac_server 组件上的错误访问控制与 CVE-2017-3749 和 CVE-2017-3750 漏洞可将权限提升为根用户（通常称为“获取设备 root 权限”或“越狱”）。

2. CVE-2017-3749 - Idea Friend Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据，结合 CVE-2017-3748 和 CVE-2017-3750 漏洞攻击可导致权限提升。

3. CVE-2017-3750 - Lenovo Security Android 应用程序允许通过 Android Debug Bridge 备份和存储私有数据，结合 CVE-2017-3748 漏洞攻击可导致权限提升。

应采取哪些措施进行自我保护：

Lenovo 不建议最终用户获取设备 root 权限，因为这可能会极大地影响设备的安全性和稳定性。

建议使用 Android 较早版本（早于 Android 6.0 Marshmallow）的用户执行以下操作：

1) 如果设备启用了 Android Developer Options（Android 开发者选项）菜单（不常见），请在不使用时禁用 ADB。

2) 启用锁屏界面认证机制，例如 PIN/密码保护。

产品影响：

已升级到 Android 6.0 Marshmallow 的设备不受影响。运行早于 Android 6.0 操作系统的部分 Lenovo 产品可能会受到根目录攻击的影响。

要确定 Android 设备的操作系统版本，请转到：

Settings（设置）> About Phone（关于手机）> Device Information（设备信息）> Android version（Android 版本）

要确定手机的产品型号，请转到：

Settings（设置）> About Phone（关于手机）> Device Information（设备信息）> Model number（型号）

要检查手机是否有软件更新可用：

Settings（设置）> About Phone（关于手机）> System updates（系统更新）

如果有可用更新，请按照提示进行安装。

以下设备不受影响，因为它们已经升级：

A5860

A7010a48

A7020a40

A7020a48

K50-t3s

K50-t5

K51c78

K52e78

P1c58

P1c72

X3a40

X3c50

X3c70

Z90-3

Z90-7

以下设备受 Android Lollipop 影响并已打补丁：

A2010-a

A2010-l

A2020a40

A2580

A3580

A3690

A3860 (t-3)

A3860 (ts-3)

A3890

A3910e70

A3910t30

A5600

A5890

A6020a40

A6020a41

A6020a46

A6020i36

A7600

A7600-m

K31-t3-s

K32c36

K52t38

K920

P1ma40

S1La40

以下产品受影响且无修复程序可用：

A1600

A2560

A2800

A2860

A2880

A3000

A3500

A3600-d

A3600u

A3800-d

A3900

A6000

A6000-I

A6600

A6020i37

A6800

K30-E

K30-W-cu

K32c30

K80M

致谢：

Lenovo 谨对来自 Mandiant 的 Jake Valletta 表示感谢。

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。