ニュース
» 2015年12月08日 07時41分 UPDATE

Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か

Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。

[鈴木聖子,ITmedia]

 LenovoのPCにプリインストールされているサポート用ソフトウェアに極めて深刻な脆弱性が発見され、米カーネギーメロン大学のCERT/CCが脆弱性情報を公開した。この問題を指摘したセキュリティ研究者は、東芝とDell製のPCについても同様のソフトウェアの脆弱性を指摘している。

 CERT/CCの12月4日付の脆弱性情報では、Lenovoの「Lenovo Solution Center」について複数の問題を指摘した。同ソフトウェアを起動するとシステム権限で稼働する「LSCTaskService」というプロセスについては、危険なメソッドが多数含まれていて、一般のローカルユーザーがシステム特権で任意のコードを実行できてしまうと解説している。

lnvval01.jpg JPCERT/CCによる分析結果

 これとは別に、Lenovo Solution Centerにはディレクトリトラバーサルの脆弱性やクロスサイトリクエストフォージェリ(CSRF)の脆弱性も見つかった。ユーザーがLenovo Solution Centerを起動した状態で細工を施したWebサイトやHTMLメールを表示した場合、システム特権で任意のコードを実行される恐れがあるという。

 Lenovoは問題の発覚を受けて対応を表明、「できるだけ早くアップデートとフィックスを提供する」と説明している。

 この問題は、「slipstream/RoL」と名乗るセキュリティ研究者が発見し、4日のTwitterで報告した。この研究者はLenovoのほか、Dellと東芝のPCにプリインストールされているソフトウェアについても、「『Dell System Detect』のUACバイパス」「『Toshiba Service Station』のシステムレジストリ読み込み」の問題を指摘している。

lnvval02.jpg 問題を報告した研究者サイト

 東芝、Dellとも現時点で対応は明らかになっていない。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -