Уязвимость позволяет повысить привилегии и получить контроль над ОС.
Компания Lenovo исправила опасную уязвимость в программном инструменте Lenovo Solution Center (LSC). С ее помощью локальный пользователь или скомпрометировавший его удаленный атакующий может повысить привилегии, выполнить произвольный код на Windows системе и получить полный контроль над ОС.
LSC представляет собой приложение, предустановленное на многих ПК и лэптопах производства Lenovo. Инструмент позволяет проверять статус межсетевого экрана и аккумулятор, выполнять резервное копирование файлов, обновлять ПО, тестировать аппаратное обеспечение и получать информацию о гарантийном обслуживании. Инструмент состоит из двух компонентов – графического пользовательского интерфейса и сервиса LSCTaskService, работающего в фоновом режиме, даже если пользовательский интерфейс не запущен.
Проблема исправлена в версии LSC 3.3.002. Данный случай является не первым, когда в LSC обнаруживается подобная уязвимость (первая была исправлена в декабре прошлого года). Компания Lenovo не выпустила новое уведомление о проблеме, а просто обновила уже существующее. Пользователи, активировавшие автоматическое получение обновлений, смогут обновить программу при ее открытии, остальным нужно установить их вручную.