聯想戴爾東芝電腦預裝軟件留有安全漏洞

　　北京時間12月8日消息，據國外科技網站Computerworld報道，聯想電腦如果預裝聯想解決方案中心(Lenovo Solution Center )應用程序(3.1.004及以下版本)，電腦就有可能面臨風險。與之相似，戴爾電腦如果安裝系統偵測(System Detect)軟件(6.12.0.1及以下版本)，東芝電腦如果安裝服務站(Service Station)軟件(2.6.14及以下版本)，電腦都將處在風險之中。

　　最近，PC廠商正在進行一場名為“PC Does What!?”的營銷活動，安全專家卻指出三大PC廠商的電腦都不安全。一位化名為slipstream/ RoL的安全專家最近公布一段概念證明代碼，它可以攻擊戴爾、聯想和東芝電腦的漏洞。專家沒有先向廠商提交代碼，而是直接向公眾發(fā)布代碼，這意味著數百萬用戶的電腦面臨潛在風險，不懷好意的人可能會利用代碼從系統層面攻擊電腦。

　　概念證明顯示，不管使用者用何種身份登錄都面臨風險，用Windows用戶帳戶登錄倒是比用管理員帳戶登錄要安全一些。造成這種風險的原因正是PC商預裝了膨脹軟件，它留有漏洞。

　　卡內基·梅隆大學的美國計算機應急籌備小組(US-CERT)警告稱：“聯想解決方案中心應用程序存在多個漏洞，攻擊者可以獲得系統進入特權并隨意執(zhí)行代碼。”如果用戶登錄聯想解決方案中心，攻擊者可以誘使或者哄騙用戶瀏覽惡意網頁、HTML郵件信息或附件，然后攻擊者可以通過系統權限執(zhí)行任意代碼。

　　聯想戴爾東芝電腦面臨風險

　　名為slipstream/RoL的安全專家指出，聯想解決方案中心“允許用戶快速診斷系統、網絡連接、及整個系統安全的狀況。”它作為一項預裝服務運行在聯想PC的系統層，遺憾的是通過聯想解決方案中心應用程序3.1.004及以下版本軟件，攻擊者可以將本地權限擴大到系統權限，并在系統層遠程執(zhí)行任何代碼，此時聯想解決方案中心已經無法防御。

　　美國計算機應急籌備小組列出了三個不同的聯想PC漏洞：聯想解決方案中心會創(chuàng)建一個名為LSCTaskService的進程，它運行在系統層面，它會對關鍵資源進行錯誤權限分配;第二個漏洞是跨站點請求偽造(CSRF)漏洞;還有一個是目錄遍歷漏洞。美國計算機應急籌備小組在報告中寫道：“看起來并非所有這些漏洞都需要用戶至少登錄聯想解決方案中心一次，只是簡單關閉聯想解決方案中心，看起來也無法阻止LSCTaskService進程漏洞的繼續(xù)存在。”

　　在接到美國計算機應急籌備小組的通報后，聯想也發(fā)出安全警告稱：“我們正在評估漏洞報告，我們會盡快提供軟件升級并修復漏洞。”在此之前用戶可以卸載聯想解決方案中心軟件。

　　安全專家發(fā)現漏洞

　　即使用戶很小心，沒有打開惡意鏈接和附件，只要運行了聯想程序，攻擊也可能從驅動下載潛入電腦系統。聯想稱預裝軟件只提供給ThinkPad產品。如果用戶使用的是ThinkPad、IdeaPad、ThinkCenter、IdeaCenter或ThinkState，安裝的是Win7及后續(xù)版本的系統，可以先卸載聯想解決方案中心。

　　如果安裝有戴爾系統偵測軟件(Dell System Detect)6.12.0.1及以下版本，攻擊者可以擴大權限，越過Windows用戶帳戶控制入侵電腦。與聯想不同，即使卸載戴爾支持軟件也無法解決問題。專家提供的臨時解決方案是：卸載戴爾支持軟件，然后將DellSystemDetect.exe拉入黑名單。

　　同樣的，專家也建議卸載東芝服務站軟件。

　　據IDC統計，2015年聯想PC出貨1490萬臺，戴爾超過1000萬臺。東芝是第五大PC商，單是三季度出貨就達81萬臺。三大企業(yè)銷售的PC數量龐大，影響的用戶范圍也很廣。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。