故障现象

Lenovo 安全公告：LEN-121183

潜在影响：权限提升

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2023-3078

摘要描述：

Lenovo Universal Device Client（UDC）中报告了一个不受控的搜索路径漏洞，该漏洞可能允许具有本地访问权限的攻击者通过提升权限执行代码。Lenovo UDC 服务用于连接客户端与 Lenovo Cloud 服务，并预装在部分 Lenovo 设备上。Lenovo UDC 也是以下产品的组件：

• Lenovo Freestyle
• Lenovo Device Intelligence
• Lenovo Device Manager
• ThinkSmart Manager

解决方案

将 Universal Device Client 更新到版本 23.4 或更高版本。Lenovo UDC 通过 Windows 更新自动更新。

可以使用以下步骤验证 Lenovo UDC 的版本：
1. 从控制面板启动设备管理器
2. 展开系统设备
3. 找到并双击“Universal Device Client Device”
4. 单击“驱动程序”选项卡以查看当前版本

此外，还可以选择手动下载并安装更新。可以在此处下载最新版本的 Lenovo UDC：https://filedownload.lenovo.com/enm/udc/UDCSetup.exe

致谢：

Lenovo 谨对报告此问题的 Jérôme TCHAN（来自 Offensive Security Center of Deloitte France）表示感谢。

参考资料：

https://support.lenovo.com/us/en/solutions/ht512542-lenovo-extend-knowledge-base-and-guide

https://support.lenovo.com/us/en/solutions/ht511072-lenovo-device-intelligence

https://www.lenovo.com/us/en/software/lenovo-device-manager/

https://smartsupport.lenovo.com/us/en/downloads/ds542392

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。