レノボ セキュリティ アドバイザリ: LEN-132277

潜在的影響: 特権昇格

重要度: 中

影響範囲: Lenovo限定

CVE ID: CVE-2024-23593, CVE-2024-23594

概要:

2012年から2014年にLenovoにてプリロードされたWindows 7 および 8 オペレーティングシステムの一部であるシステムリカバリーのブートローダーに以下の脆弱性が確認されました。サポートされているデバイスはこの問題の影響を受けません。

CVE-2024-23593: ローカルアクセス権を持つ特権攻撃者がブートマネージャーを変更し、特権を昇格させる可能性がある脆弱性が報告されました。

CVE-2024-23594: ローカルアクセス権を持つ特権攻撃者に任意のコードを実行される可能性があるバッファオーバーフローの脆弱性が報告されました。

お客様による対策:

懸念されるお客様は、Microsoft社のガイダンスに従って、最新のセキュアブートDBX失効リストに更新できます。

影響を受ける製品(日本未発売製品を含む):

以下の製品に指定されたバージョンをダウンロードするには、以下の手順に従ってください。

製品ページの「ドライバーとソフトウェア」を開きます:

• Lenovo 製品 (ワールドワイド、中国を除く): https://support.lenovo.com/
• Lenovo 製品 (中国のみ): https://newsupport.lenovo.com.cn/
• IBMブランド System x レガシー製品: https://www.ibm.com/support/fixcentral/

1. 製品名、またはマシンタイプからお使いの製品を検索します。
2. 左のメニューから「ドライバーとソフトウェア」をクリックします。
3. 「ドライバーの手動更新」をクリックして、コンポーネント別に表示します。
4. 影響を受ける製品一覧の修正バージョンとサポートサイトの最新バージョンを比較します。

Lenovo では、上記の手動の手順の代わりに、更新を管理するツールを提供しています。詳細は以下を参照してください。

PC 製品/ソフトウェア: https://support.lenovo.com/jp/ja/solutions/ht504759

サーバー/Enterprise ソフトウェア: https://support.lenovo.com/jp/ja/solutions/lnvo-lxcaupd および https://datacentersupport.lenovo.com/jp/ja/documents/lnvo-center

謝辞:

Lenovo thanks Zammis Clark for reporting these issues. 

その他情報および引用:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-23593

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-23594

編集履歴:

セキュリティアドバイザリの一覧は、 こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。