聯(lián)想戴爾東芝PC預(yù)裝軟件存在漏洞 數(shù)百萬用戶面臨風(fēng)險

來源:站長新聞AiWeTalk的空間 2015-12-08

聯(lián)想戴爾東芝電腦預(yù)裝軟件留有安全漏洞

鳳凰科技訊 北京時間12月8日消息，據(jù)國外科技網(wǎng)站Computerworld報道，聯(lián)想電腦如果預(yù)裝聯(lián)想解決方案中心（Lenovo Solution Center ）應(yīng)用程序（3.1.004及以下版本），電腦就有可能面臨風(fēng)險。與之相似，戴爾電腦如果安裝系統(tǒng)偵測（System Detect）軟件（6.12.0.1及以下版本），東芝電腦如果安裝服務(wù)站（Service Station)軟件（2.6.14及以下版本），電腦都將處在風(fēng)險之中。

最近，PC廠商正在進(jìn)行一場名為“PC Does What!?”的營銷活動，安全專家卻指出三大PC廠商的電腦都不安全。一位化名為slipstream/ RoL的安全專家最近公布一段概念證明代碼，它可以攻擊戴爾、聯(lián)想和東芝電腦的漏洞。專家沒有先向廠商提交代碼，而是直接向公眾發(fā)布代碼，這意味著數(shù)百萬用戶的電腦面臨潛在風(fēng)險，不懷好意的人可能會利用代碼從系統(tǒng)層面攻擊電腦。

概念證明顯示，不管使用者用何種身份登錄都面臨風(fēng)險，用Windows用戶帳戶登錄倒是比用管理員帳戶登錄要安全一些。造成這種風(fēng)險的原因正是PC商預(yù)裝了膨脹軟件，它留有漏洞。

卡內(nèi)基·梅隆大學(xué)的美國計算機應(yīng)急籌備小組(US-CERT)警告稱：“聯(lián)想解決方案中心應(yīng)用程序存在多個漏洞，攻擊者可以獲得系統(tǒng)進(jìn)入特權(quán)并隨意執(zhí)行代碼�！比绻�用戶登錄聯(lián)想解決方案中心，攻擊者可以誘使或者哄騙用戶瀏覽惡意網(wǎng)頁、HTML郵件信息或附件，然后攻擊者可以通過系統(tǒng)權(quán)限執(zhí)行任意代碼。

聯(lián)想戴爾東芝電腦面臨風(fēng)險

名為slipstream/RoL的安全專家指出，聯(lián)想解決方案中心“允許用戶快速診斷系統(tǒng)、網(wǎng)絡(luò)連接、及整個系統(tǒng)安全的狀況�！彼�作為一項預(yù)裝服務(wù)運行在聯(lián)想PC的系統(tǒng)層，遺憾的是通過聯(lián)想解決方案中心應(yīng)用程序3.1.004及以下版本軟件，攻擊者可以將本地權(quán)限擴大到系統(tǒng)權(quán)限，并在系統(tǒng)層遠(yuǎn)程執(zhí)行任何代碼，此時聯(lián)想解決方案中心已經(jīng)無法防御。

美國計算機應(yīng)急籌備小組列出了三個不同的聯(lián)想PC漏洞：聯(lián)想解決方案中心會創(chuàng)建一個名為LSCTaskService的進(jìn)程，它運行在系統(tǒng)層面，它會對關(guān)鍵資源進(jìn)行錯誤權(quán)限分配；第二個漏洞是跨站點請求偽造（CSRF）漏洞；還有一個是目錄遍歷漏洞。美國計算機應(yīng)急籌備小組在報告中寫道：“看起來并非所有這些漏洞都需要用戶至少登錄聯(lián)想解決方案中心一次，只是簡單關(guān)閉聯(lián)想解決方案中心，看起來也無法阻止LSCTaskService進(jìn)程漏洞的繼續(xù)存在�！�

在接到美國計算機應(yīng)急籌備小組的通報后，聯(lián)想也發(fā)出安全警告稱：“我們正在評估漏洞報告，我們會盡快提供軟件升級并修復(fù)漏洞�！痹诖酥�前用戶可以卸載聯(lián)想解決方案中心軟件。

安全專家發(fā)現(xiàn)漏洞

即使用戶很小心，沒有打開惡意鏈接和附件，只要運行了聯(lián)想程序，攻擊也可能從驅(qū)動下載潛入電腦系統(tǒng)。聯(lián)想稱預(yù)裝軟件只提供給ThinkPad產(chǎn)品。如果用戶使用的是ThinkPad、IdeaPad、ThinkCenter、IdeaCenter或ThinkState，安裝的是Win7及后續(xù)版本的系統(tǒng)，可以先卸載聯(lián)想解決方案中心。

如果安裝有戴爾系統(tǒng)偵測軟件（Dell System Detect）6.12.0.1及以下版本，攻擊者可以擴大權(quán)限，越過Windows用戶帳戶控制入侵電腦。與聯(lián)想不同，即使卸載戴爾支持軟件也無法解決問題。專家提供的臨時解決方案是：卸載戴爾支持軟件，然后將DellSystemDetect.exe拉入黑名單。

同樣的，專家也建議卸載東芝服務(wù)站軟件。

據(jù)IDC統(tǒng)計，2015年聯(lián)想PC出貨1490萬臺，戴爾超過1000萬臺。東芝是第五大PC商，單是三季度出貨就達(dá)81萬臺。三大企業(yè)銷售的PC數(shù)量龐大，影響的用戶范圍也很廣。（編譯/虎濤）

文章編輯: AiWeTalk在線客服軟件(lyyjmx.com)

我的評論

登錄賬號：

密碼：

快速注冊 | 找回密碼