Уязвимость программного средства для обновления программного обеспечения Lenovo System Update связана с возможностью интерактивного доступа к системе во время процесса установки обновления, который отображает окно командной строки. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
BDU:2022-02304
CVE-2022-0354
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- применение системы разграничения доступа с целью запрета запуска приложения для обновления непривилегированными пользователями;
- использование безопасных процедур для обновления системы;
- удаление программного средства Lenovo System Update.
Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-76673
Пакеты обновлений системы, выпущенные после 25.02.2022, не затронуты
BDU:2022-02304
CVE-2022-0354
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- применение системы разграничения доступа с целью запрета запуска приложения для обновления непривилегированными пользователями;
- использование безопасных процедур для обновления системы;
- удаление программного средства Lenovo System Update.
Использование рекомендаций производителя:
https://support.lenovo.com/us/en/product_security/LEN-76673
Пакеты обновлений системы, выпущенные после 25.02.2022, не затронуты