所有分类 > 病毒与安全 > 漏洞与防护 > Lenovo Accelerator Application 不安全的更新机制

Lenovo Accelerator Application 不安全的更新机制

. 1465281730 | 知识编号: 149824

故障现象:

Lenovo 安全公告:LEN-6718



潜在影响:取得本地网络访问权限的攻击者可执行远程代码。



严重性:高



影响范围:下述 Lenovo 产品



摘要描述:



已发现 Lenovo Accelerator Application 软件存在安全漏洞,可能被具备中间人攻击能力的攻击者利用。该漏洞存在于现有的更新机制中:在该机制中,软件会询问 Lenovo 服务器以识别是否有应用程序更新。



Lenovo Accelerator Application 用于加速启动 Lenovo 应用程序,曾安装于某些预装 Windows 10 操作系统的笔记本电脑和台式机中。


解决方案:

应采取哪些措施进行自我保护:



Lenovo 建议客户卸载 Lenovo Accelerator Application,方法是访问 Windows 10 中的“Apps and Features”应用程序,选中 Lenovo Accelerator Application,然后单击“卸载”。



产品影响:



Lenovo Accelerator Application 曾安装于某些客户预装 Windows 10 操作系统的笔记本电脑和台式机中。



Lenovo Accelerator Application 从未安装于 ThinkPad 或 ThinkStation 设备中。



受影响的 Lenovo 笔记本电脑系统:



305



700



300S



500/500S



B40-30/B40-45/B40-45/B40-80



B41-30/B41-35/B41-80



B50-30/B50-30 Touch/B50-45/B50-80/B51-30/B51-35/B51-80



E31-70/E31-80/E40-30/E40-80/E41-80/E50-30/E50-80/E51-80



Edge 15



Edge 2-1580



Erazer N40-30/Erazer N40-45



Erazer N50-45/Erazer N50-45



Erazer Z41-70



Erazer Z51-70



FLEX 2 Pro



FLEX 3



FLEX 4



K20-80



K21-80



K41-70/K41-80



M41-70



M51-80



MIIX 3



MIIX 700



N41-35



N51-35



S21e-20



S41-35/S41-70/S41-75



TianYi 300



U31-70



U41-70



V4000



XiaoXin 700



Y50-70/Y50-70 Touch



Y50c



Y700/Y700 Touch



Y70-70 Touch



Y900



Yoga 2



YOGA 3 14



Yoga 3 Pro



Yoga 300



YOGA 500/YOGA 510



YOGA 700/YOGA 710/YOGA 900/YOGA 900S



Z41-70



Z51-70



受影响的 Lenovo 台式机系统:



50050C/50100E/50550A/50600I



A3300



A7300



A8150



B40



C20



C40



C50



C560



D3000



D5010/ D5050/ D5055



F5005/ F5050/ F5055



G5005/ G5010/ G5050/ G5055



H3005



H30-50



H5005/ H5055



H50-50



IdeaCentre 200



IdeaCentre 300/300S



IdeaCentre 510/510S



IdeaCentre 700



M7300z



M8300z/M8350z



M9550z



Yoga Home 500


备注:

致谢:



Lenovo 特此感谢 Duo Security 高级安全研究员 Mikhail Davidov 报告该漏洞。



其他信息和参考资料:E-2016-3944



Duo Labs, Out-of-Box Exploitation: A Security Analysis of OEM Updaters



修订历史:



版本:1.0



日期:2016.5.31



描述:初始版本


联想网站提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。