레노버(Lenovo) 제품에 기본적으로 설치되어 레노버 소프트웨어, 드라이버, BIOS 등을 최신 버전으로 업데이트할 수 있는 기능을 제공하는 Lenovo System Update (기존명 ThinkVantage System Update) 프로그램의 다중 보안 취약점에 대한 보안 패치가 공개 되었습니다.
이번 업데이트에서는 Lenovo System Update 프로그램의 권한 상승을 통한 원격 코드 실행이 가능한 3건의 보안 취약점(CVE-2015-2219, CVE-2015-2233, CVE-2015-2234)에 대한 보안 문제가 해결되었습니다.
(1) CVE-2015-2219 : Lenovo's System Update uses a predictable security token.
System Update Service 기능을 수행하는 SUService.exe 서비스 파일이 최소 권한을 가진 로컬 사용자가 시스템 권한 사용자처럼 임의의 명령을 수행할 수 있도록 허용함으로 인하여 임의의 코드 실행이 가능한 보안 문제를 유발할 수 있습니다.
(2) CVE-2015-2233 : Lenovo's System Update signature validation errors.
인터넷을 통해 레노버(Lenovo) 서버를 통해 시스템 업데이트를 수행하는데 이 과정에서 서명 유효성 체크가 불완전한 문제로 인하여 공격자는 가짜 CA(Certificate Authority)로 생성한 디지털 서명을 사용하여 악성코드를 다운로드하여 실행할 수 있습니다.
(3) CVE-2015-2234 : Lenovo's System Update race condition.
시스템 업데이트를 수행하는 과정에서 서명을 확인하고 쓰기 가능한 디렉토리에 실행 파일을 저장할 때 공격자는 로컬 권한 상승 취약점을 이용하여 저장된 실행 파일을 삭제한 후 악성코드로 변경하여 실행할 수 있습니다.
□ ThinkPad 전 제품, ThinkCentre 전 제품, ThinkStation 전 제품, Lenovo V/B/K/E 시리즈에 포함된 Lenovo System Update 5.6.0.27 버전 및 하위 버전 → Lenovo System Update 5.06.0034 버전 및 상위 버전
이에 따라 레노버(Lenovo) 제품 사용자는 기본 설치된 Lenovo System Update 프로그램의 업데이트 기능을 이용하여 최신 버전으로 업데이트하도록 2015년 4월 3일경부터 패치를 제공하고 있으므로 반드시 최신 버전을 사용하시기 바랍니다.