2016.07.02(土)

Lenovo用サポートソフト「Lenovo Solution Center」に複数の脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月7日、Lenovoが提供するサポートソフト「Lenovo Solution Center」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは9.8。現時点で対策方法は公開されていない。

「Lenovo Solution Center」には、重要な情報に対するアクセス権の不適切な割り当て、ディレクトリトラバーサル、クロスサイトリクエストフォージェリの脆弱性が存在する。これらの脆弱性が悪用されると、同ソフトを起動したユーザに細工されたHTMLドキュメントを閲覧させることで、攻撃者は、SYSTEM 権限で任意のコードを実行することが可能となる。また、システムにログイン可能なユーザ自身が SYSTEM 権限で任意のコードを実行することも可能となる。JVNでは、「実行中の Lenovo Solution Center を終了する」「Lenovo Solution Center をアンインストールする」ことで、本脆弱性の影響を軽減できるとしている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 「Apache Commons FileUpload」にDoSの脆弱性、影響範囲の広さに注意(JVN)

    「Apache Commons FileUpload」にDoSの脆弱性、影響範囲の広さに注意(JVN)

  2. スマホアプリ「スシロー」にSSLサーバ証明書検証不備の脆弱性(JVN)

    スマホアプリ「スシロー」にSSLサーバ証明書検証不備の脆弱性(JVN)

  3. 2016年第1四半期のクレジットカード不正使用被害、被害額は引き続き増加(日本クレジット協会)

    2016年第1四半期のクレジットカード不正使用被害、被害額は引き続き増加(日本クレジット協会)

  4. Docker APIやH.323 プロトコルのポートに対するアクセスが増加(警察庁)

  5. 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)

  6. 複数の「ひかり電話ルータ」および「ひかり電話対応機器」に重大な脆弱性(JVN)

  7. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  8. 「ntpd」に複数の脆弱性、アップデートを呼びかけ(JVN)

  9. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性

  10. WordPress用プラグイン「Welcart e-Commerce」に複数の脆弱性(JVN)

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×