Microsoft 漏洞研究咨询 MSVR13-001

Lenovo ThinkPad 中具有增强数据速率软件的漏洞蓝牙可以允许执行任意代码

发布时间: 2013 年 1 月 15 日

版本: 1.0

概述

执行摘要

Microsoft 正在提供有关发现和修正影响 Lenovo ThinkPad 的漏洞的通知,蓝牙增强的数据速率软件版本 6.4.0.2900 及更低版本。 Microsoft 发现并披露了与受影响的供应商联想的协调漏洞披露下的漏洞。 联想已修正其软件中的漏洞。

联想蓝牙增强型数据速率软件处理 DLL 文件的加载的方式存在漏洞。 成功利用此漏洞的攻击者可以在当前用户的安全上下文中运行任意代码。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。

Microsoft 漏洞研究向联想报告了此问题,并与联想协调,以确保修正此问题。 漏洞已分配到常见漏洞和公开列表中的条目 CVE-2013-1361。

有关联想更新的详细信息,请参阅适用于 Windows 7 的增强数据速率软件(32 位、64 位)、Vista(32 位、64 位)的蓝牙下载驱动程序和软件详细信息页 - ThinkPad

缓解因素

  • 要使攻击成功,用户必须访问不受信任的远程文件系统位置或 WebDAV 共享,然后从此位置打开一个文档,然后由易受攻击的应用程序加载。
  • 文件共享协议 SMB 通常在外围防火墙上禁用。 这会限制此漏洞的可能攻击途径。

咨询详细信息

用途和建议

咨询目的: 通知用户漏洞及其修正。

公告状态: 已发布公告。

建议: 查看 “建议的操作 ”部分,并根据需要进行配置。

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
常见漏洞和暴露 CVE-2013-1361

受影响的和非受影响的软件

此公告讨论了以下软件:

受影响的软件
Lenovo Thinkpad 蓝牙增强型数据速率软件 6.4.0.2900 及更低版本
受影响的软件
Lenovo Thinkpad 蓝牙增强的数据速率软件 6.5.1.2700

常见问题

此公告的范围是什么?
此公告是与受影响的供应商协调发布的一部分,告知客户可能影响其系统的安全问题。

这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 已通过受影响第三方供应商的更新修复了此漏洞。 此更新修正了表 “受影响的软件”中列出的软件

漏洞的范围是什么?
这是远程代码执行漏洞。

导致漏洞的原因是什么?
此漏洞是由于 Lenovo 软件错误地限制用于加载外部库的路径造成的。 当联想蓝牙增强型数据速率软件用作Microsoft 办公室加载项时,此漏洞是可利用的。

攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在当前用户的安全上下文中运行任意代码。 如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以完全控制受影响的系统。 然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 与使用管理用户权限操作的用户相比,其帐户在系统上具有更少用户权限的用户更不易受到影响。

攻击者如何利用漏洞?
攻击者可以说服用户打开位于与专门制作的动态链接库(DLL)文件位于同一网络目录中的合法办公室文件。 然后,打开合法文件时,Lenovo 蓝牙增强型数据速率软件加载项Microsoft 办公室可能会尝试加载 DLL 文件并执行它包含的任何代码。

在电子邮件攻击方案中,攻击者可以通过向用户发送合法的办公室文件附件来利用漏洞,说服用户将附件放入包含专门制作的 DLL 文件的目录中,并说服用户打开合法文件。 然后,打开合法文件时,Lenovo 蓝牙增强型数据速率软件加载项Microsoft 办公室可能会尝试加载 DLL 文件并执行它包含的任何代码。

在网络攻击方案中,攻击者可以在网络共享、UNC 或 WebDAV 位置放置合法的办公室文件和特制的 DLL 文件,然后说服用户打开该文件。 然后,打开合法文件时,Lenovo 蓝牙增强型数据速率软件加载项Microsoft 办公室可能会尝试加载 DLL 文件并执行它包含的任何代码。

建议的操作

使用增强的数据速率软件更新到最新版本的 Lenovo Thinkpad 蓝牙。

其他信息

致谢

Microsoft 感谢 以下内容:

  • Microsoft 的海飞李和联想致力于解决

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2013 年 1 月 15 日):已发布公告。

生成于 2014-04-18T13:49:36Z-07:00