Lenovo 安全公告:LEN-15374
潜在影响:远程执行代码
严重性:高
影响范围:所有 Lenovo Android 平板电脑及以下移动电话:所有 Lenovo VIBE 与 ZUK 设备及 Lenovo 分发的 Moto M(XT1662)。
CVE ID:CVE-2017-3758、CVE-2017-3759、CVE-2017-3760、CVE-2017-3761
摘要描述:
已确定 Android 设备(移动电话和平板电脑)用于下载应用程序的 Lenovo Store 存在漏洞。还在 Lenovo 设备上其他几个不同 Android 应用程序(包括 Lenovo Store)所用 Lenovo Service Framework(LSF)Android 应用程序中发现了一些漏洞。LSF 用于接收来自 Lenovo 服务器的推送通知,如产品促销(如应用程序下载推荐)、新闻、声明、调查等。在某些情况下,推动通知用于简化应急应用程序的修复和升级。恶意软件可能利用已确定的这些漏洞将代码从任意服务器下载到设备,继而远程执行代码。这些漏洞同时影响 Lenovo Store 本身(服务器)和 Lenovo Store 与 Lenovo Service Framework Android 应用程序(客户端)。
1、CVE-2017-3758 – 可利用对 Lenovo Service Framework 应用程序中若干 Android 组件的不当访问控制远程执行代码。
2、CVE-2017-3759 – Lenovo Service Framework Android 应用程序在不执行恰当验证的情况下即接受来自服务器的某些响应。这样应用程序容易遭受中间人攻击,从而可能导致远程执行代码。
3、CVE-2017-3760 – Lenovo Service Framework Android 应用程序在对下载的应用程序和/或数据执行完整性验证时,使用一组不安全的凭证。这样应用程序容易遭受中间人攻击,从而可能导致远程执行代码。
4、CVE-2017-3761 – Lenovo Service Framework Android 应用程序在未对外部输入执行恰当清理的情况下执行某些系统命令。在某些情况下,这可能导致注入命令,继而导致远程执行代码。
解决方案:
应采取哪些措施进行自我保护:
Lenovo Store 应用程序
已解决了这些漏洞,并已在 Lenovo Store 服务器上部署经过修补的应用程序版本。受影响设备应从服务器收到 Lenovo Store 客户端应用程序自动更新。已修补了版本号高于 9.4.0.88 的应用程序。用户可以通过打开 LeStore 应用程序并执行下面的过程验证版本号。
如果最终用户确定 LeStore 应用程序版本尚未更新,可以通过下面的一种方法手动更新:
方法 1. 打开 LeStore 应用程序:
· 单击右下角的“我的”(表示个人中心)
· 向下滚动列表,选择“检查更新”(表示检查更新)
· 单击右边的按钮“后台升级”(表示后台更新)以执行更新
方法 2. 打开 LeStore 应用程序:
· 单击右上角的圆形按钮
· 单击“可更新”(表示等待更新)
· 找到“应用中心”(LeStore),然后单击按钮“更新”(表示要更新)
Lenovo Service Framework 应用程序
已解决了版本 V4.8.0.2403 中的漏洞;设备建立连接后,应用程序将自动更新。用户可通过打开菜单“Settings (设置)--> Apps(应用程序)--> Device Service(设备服务)”验证版本是否正确。
如果用户发现仍有的应用程序版本有漏洞,可从以下地址下载已修补的版本:https://support.lenovo.com/us/en/solutions/ht505318
产品影响:
所有 Lenovo Android 平板电脑及以下移动电话:所有 Lenovo VIBE 与 ZUK 设备及 Lenovo 分发的 Moto M(XT1662)。
致谢:
Lenovo 非常感谢安全研究员 Imre Rad。
要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。
最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。