LenovoのPCにプリインストールされているサポート用ソフトウェアに極めて深刻な脆弱性が発見され、米カーネギーメロン大学のCERT/CCが脆弱性情報を公開した。この問題を指摘したセキュリティ研究者は、東芝とDell製のPCについても同様のソフトウェアの脆弱性を指摘している。

CERT/CCの12月4日付の脆弱性情報では、Lenovoの「Lenovo Solution Center」について複数の問題を指摘した。同ソフトウェアを起動するとシステム権限で稼働する「LSCTaskService」というプロセスについては、危険なメソッドが多数含まれていて、一般のローカルユーザーがシステム特権で任意のコードを実行できてしまうと解説している。

これとは別に、Lenovo Solution Centerにはディレクトリトラバーサルの脆弱性やクロスサイトリクエストフォージェリ（CSRF）の脆弱性も見つかった。ユーザーがLenovo Solution Centerを起動した状態で細工を施したWebサイトやHTMLメールを表示した場合、システム特権で任意のコードを実行される恐れがあるという。

Lenovoは問題の発覚を受けて対応を表明、「できるだけ早くアップデートとフィックスを提供する」と説明している。

この問題は、「slipstream/RoL」と名乗るセキュリティ研究者が発見し、4日のTwitterで報告した。この研究者はLenovoのほか、Dellと東芝のPCにプリインストールされているソフトウェアについても、「『Dell System Detect』のUACバイパス」「『Toshiba Service Station』のシステムレジストリ読み込み」の問題を指摘している。

問題を報告した研究者サイト

東芝、Dellとも現時点で対応は明らかになっていない。

Copyright © ITmedia, Inc. All Rights Reserved.