切片 切片 切片 切片 切片 切片 切片 切片 切片 切片 切片 编组 3 切片 切片 路径 2 download 工具 配置对比 手册 切片 切片
安全公告:LEN-27431 DLL 搜索路径和符号链接漏洞
小新系列2020-01-22知识编号:186942
催更新
故障现象:

Lenovo 安全公告:LEN-27431


潜在影响:权限提升


严重性


影响范围:Lenovo 特有的产品


CVE ID:CVE-2019-6173、CVE-2019-6196


摘要描述:


DLL 搜索路径和符号链接漏洞可能仅在安装期间导致在某些 Lenovo 安装软件包中发生权限升级。已安装的软件不受这些问题的影响。


CVE-2019-6173:如果攻击者已经具有管理特权,则 DLL 搜索路径漏洞可能会在安装过程中导致在某些 Lenovo 安装软件包中发生权限升级。


CVE-2019-6196:某些 Lenovo 安装软件包中的符号链接漏洞可能会在文件提取和安装期间允许进行特权文件操作。


解决方案:

应采取哪些措施进行自我保护:


注意:这些漏洞仅在软件安装过程中被利用。如果不安装软件,则不会受到此问题的影响。


为缓解这些漏洞的危害,Lenovo 建议通过 Lenovo Vantage、Lenovo System Update 或 Windows Update 安装 Lenovo 软件更新。通过 Update Retriever、Thin Installer 和 System Update 安装的更新也不受影响。


如果系统管理员想要缓解已构建的自动更新脚本的危害,可采取此处提供的建议步骤。


与往常一样,为防止潜在的攻击者获得管理特权,建议用户通过良好的安全性实践进行自我保护,例如更新防病毒软件,仅使用安全的 Internet 连接且不要点击未知的链接或网页。


致谢:


Lenovo 感谢 CyberArk Labs 的 Eran Shimony 报告此问题。


参考资料:


安装程序补丁的源代码:https://github.com/lenovoinc/issrc/tree/DLL_Injection_TempDir_fix


修订历史:



0
知识有用,就点一下~
0
收藏 :
分享 :

鐢ㄦ埛鍚嶄笉姝g‘

鐧诲綍
鍏朵粬鐧诲綍鏂瑰紡

鎵撳紑鑱旀兂鏅洪€堿pp鎵爜杩涜鐧诲綍

鎵弿鎴愬姛!

璇峰嬁鍒锋柊鏈〉闈紝鎸夋墜鏈烘彁绀烘搷浣滐紒

浜岀淮鐮佸凡澶辨晥
鍒锋柊