Опасные бреши в Lenovo System Update


0-day yazvimostСпециалистами из компании IOActive были выявлены две уязвимости повышения привилегий в утилите Lenovo System Update - утилите, предназначенной для поиска обновлений для драйверов и BIOS.

Обнаруженная уязвимость CVE-2015-8109 позволяет обычному пользователю получить права администратора. Кроме того, с момента запуска главного процесса Tvsukernel.exe с правами администратора экземпляр web-браузера, который начинал открывать справки URL, также получал права администратора. Атакующий мог проэксплуатировать такой экземпляр web-браузера для повышения своих привилегий до прав администратора или системы.

Вторая уязвимость CVE-2015-8110 относилась к слабой криптографии, которая позволяет использовать для повышения привилегий временную учетную запись администратора Lenovo System Update. В некоторых случаях и при определенных обстоятельствах злоумышленник мог угадать имя и пароль пользователя, а затем проэксплуатировать их для повышения привилегий.

IOActive уведомила Lenovo об выявленных уязвимостях, и компания оперативно выпустила обновления, исправляющие данные бреши.


Обновлено (26.11.2015 16:58)