Lenovoのサポートソフトに深刻な脆弱性、東芝とDellにも問題か
Lenovoの「Lenovo Solution Center」の脆弱性を発見した研究者は、Dellと東芝のPCにプリインストールされているソフトウェアについても同様の脆弱性を指摘している。
LenovoのPCにプリインストールされているサポート用ソフトウェアに極めて深刻な脆弱性が発見され、米カーネギーメロン大学のCERT/CCが脆弱性情報を公開した。この問題を指摘したセキュリティ研究者は、東芝とDell製のPCについても同様のソフトウェアの脆弱性を指摘している。
CERT/CCの12月4日付の脆弱性情報では、Lenovoの「Lenovo Solution Center」について複数の問題を指摘した。同ソフトウェアを起動するとシステム権限で稼働する「LSCTaskService」というプロセスについては、危険なメソッドが多数含まれていて、一般のローカルユーザーがシステム特権で任意のコードを実行できてしまうと解説している。
これとは別に、Lenovo Solution Centerにはディレクトリトラバーサルの脆弱性やクロスサイトリクエストフォージェリ(CSRF)の脆弱性も見つかった。ユーザーがLenovo Solution Centerを起動した状態で細工を施したWebサイトやHTMLメールを表示した場合、システム特権で任意のコードを実行される恐れがあるという。
Lenovoは問題の発覚を受けて対応を表明、「できるだけ早くアップデートとフィックスを提供する」と説明している。
この問題は、「slipstream/RoL」と名乗るセキュリティ研究者が発見し、4日のTwitterで報告した。この研究者はLenovoのほか、Dellと東芝のPCにプリインストールされているソフトウェアについても、「『Dell System Detect』のUACバイパス」「『Toshiba Service Station』のシステムレジストリ読み込み」の問題を指摘している。
東芝、Dellとも現時点で対応は明らかになっていない。
関連記事
- Dell、ルート証明書の脆弱性で対応表明 別の問題発覚
Dellはシステムから「eDellRoot」を恒久的に削除する方法について説明。一方、米CERT/CCは、Dellの別のルート証明書「DSDTestProvider」に関する脆弱性情報も公開した。 - DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か
Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」について、危険を指摘する声が相次いでいる。 - Lenovoの「SuperFish」問題はさらに深刻、大手サイトへの攻撃兆候も
米電子フロンティア財団によれば、この問題は当初考えられていたよりも重大な影響があり、米GoogleやMicrosoft、Twitterなどの大手サイトが狙われている痕跡もあることが分かったという。 - Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も
US-CERTによると、LenovoのノートPCにプリインストールされていたSuperfishには重大な脆弱性があり、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.