Уязвимость программного средства для обновления программного обеспечения Lenovo System Update связана с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- применение системы разграничения доступа с целью запрета запуска приложения для обновления непривилегированными пользователями;
- использование безопасных процедур для обновления системы;
- удаление программного средства Lenovo System Update.
Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-76673
Пакеты обновлений системы, выпущенные после 25.02.2022, не затрагиваются
| Балл | 6.8 — высокая опасность |