DLLの検索パス、およびシンボリック・リンクの脆弱性

DLLの検索パス、およびシンボリック・リンクの脆弱性

DLLの検索パス、およびシンボリック・リンクの脆弱性

レノボ セキュリティ アドバイザリ: LEN-27431

潜在的影響: 特権昇格

重要度:

影響範囲: Lenovo限定

CVE ID: CVE-2019-6173, CVE-2019-6196

概要:

DLLの検索パス、およびシンボリック・リンクの脆弱性が、一部の Lenovo のインストールパッケージにおいて、インストール時にのみ特権昇格を引き起こす可能性があります。すでにインストール済みのソフトウェアは、これらの問題の影響を受けません。

CVE-2019-6173: DLL 検索パスの脆弱性は、一部の Lenovo インストールパッケージにおいて、攻撃者が管理者権限を持っている場合、インストール時に特権昇格を引き起こす可能性があります。

CVE-2019-6196: 一部の Lenovo インストールパッケージにおけるシンボリック・リンクの脆弱性によって、ファイルの解凍時やインストール時にファイル操作に権限が与えられる可能性があります。

.

お客様による対策:

メモ: これらの脆弱性はソフトウェアのインストール中にのみ影響があります。ソフトウェアをインストールしない場合、この問題の影響を受けません。

これらの脆弱性を解決するために Lenovoでは、Lenovo Vantage、Lenovo System Update、および Windows UpdateからLenovoのソフトウェアの更新を実施することを推奨します。 Update Retriever、Thin Installer、およびSystem Update経由の更新にも影響はありません。Lenovo インストール・パッケージのバージョン 1.2.9.3、またはそれ以降は影響を受けません。パッケージのバージョンを確認するには こちらの手順を参照してください。

システム管理者が、すでに構築された自動更新スクリプトについて対策を取られたい場合、推奨する手順は こちら

常に、潜在的な攻撃者が管理者権限を取得することを防ぐため、ウィルスソフトの更新や安全なインターネット接続、そして不審なリンクやWebサイトをクリックしないなど、ユーザー自身でセキュリティ対策を講じることを心掛けてください。

謝辞:

Lenovo thanks Eran Shimony at CyberArk Labs for reporting this issue.

その他情報および引用:

インストーラー修正用ソースコード: https://github.com/lenovoinc/issrc/tree/DLL_Injection_TempDir_fix

編集履歴:

リビジョン 日付 説明
2 2020年6月9日 インストール・パッケージのバージョン情報追加
1 2020年1月14日 新規作成

セキュリティアドバイザリの一覧は、 こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの補償をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。


エイリアス番号:LEN-27431
ドキュメント ID:PS500282
リリース日:2020年01月16日
最終更新日:2020年06月12日