Lenovo 安全公告：LEN-10149

潜在影响：本地权限提升、跨站请求伪造、不安全连接、可能插入伪造代码签名证书

严重性：高

影响范围：Lenovo 特有的产品

CVE ID：CVE-2016-8228、CVE-2016-8229、CVE-2016-8230、CVE-2016-8231

摘要描述：

内部调查期间，Lenovo 发现 Lenovo Service Bridge（LSB）中存在多个漏洞，如下所示：

1、具有系统本地权限的用户可用管理权限执行代码（CVE-2016-8228）

2、对于安装了 LSB 的系统，如果攻击者对系统使用的 DHCP 服务器拥有访问权限，则其可利用跨站请求伪造漏洞进行攻击（CVE-2016-8229）。

3、LSB 使用不安全的 HTTP 连接向 Lenovo 服务器发送系统序列号、机器类型和型号以及产品名称（CVE-2016-8230）

4、代码签名证书的签名验证逻辑存在漏洞，攻击者可能利用它插入伪造的代码签名证书。（CVE-2016-8231）

Lenovo Service Bridge（LSB.exe）是在 Windows 下运行的一个实用软件程序，该程序可通过 Lenovo 支持 Web 站点下载，用于自动检测计算机的序列号、机器类型和型号。这些信息将被发送到 Lenovo 服务器，从而在获取支持时不再需要搜索或浏览这些产品信息。

应采取哪些措施进行自我保护：

如果系统上已安装 Lenovo Service Bridge，它将自动更新。此问题在版本 4 及更高版本中已修复。用户可手动进行更新，方法是访问 https://pcsupport.lenovo.com，然后单击“Detect my Serial Number（检测我的序列号）”查看 Lenovo Service Bridge 的简介、条款和条件，以及下载选项。

当更新可用时，如果反病毒程序（例如 Symantec）弹出有新软件更新可用的消息，请务必选择“安装”。

产品影响：

如果之前从 Lenovo 支持站点下载了 Lenovo Service Bridge，您的 IdeaPad、IdeaCentre、Lenovo Tab（Windows）、ThinkCentre、ThinkPad、ThinkStation 或 Yoga 系统可能会受到影响。

其他信息和参考资料：

https://support.lenovo.com/us/en/documents/ht104055

最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。