聯(lián)想戴爾東芝PC預(yù)裝軟件存在漏洞 數(shù)百萬(wàn)用戶面臨風(fēng)險(xiǎn)
來(lái)源:站長(zhǎng)新聞AiWeTalk的空間 2015-12-08
聯(lián)想戴爾東芝電腦預(yù)裝軟件留有安全漏洞
鳳凰科技訊 北京時(shí)間12月8日消息,據(jù)國(guó)外科技網(wǎng)站Computerworld報(bào)道,聯(lián)想電腦如果預(yù)裝聯(lián)想解決方案中心(Lenovo Solution Center )應(yīng)用程序(3.1.004及以下版本),電腦就有可能面臨風(fēng)險(xiǎn)。與之相似,戴爾電腦如果安裝系統(tǒng)偵測(cè)(System Detect)軟件(6.12.0.1及以下版本),東芝電腦如果安裝服務(wù)站(Service Station)軟件(2.6.14及以下版本),電腦都將處在風(fēng)險(xiǎn)之中。
最近,PC廠商正在進(jìn)行一場(chǎng)名為“PC Does What!?”的營(yíng)銷活動(dòng),安全專家卻指出三大PC廠商的電腦都不安全。一位化名為slipstream/ RoL的安全專家最近公布一段概念證明代碼,它可以攻擊戴爾、聯(lián)想和東芝電腦的漏洞。專家沒(méi)有先向廠商提交代碼,而是直接向公眾發(fā)布代碼,這意味著數(shù)百萬(wàn)用戶的電腦面臨潛在風(fēng)險(xiǎn),不懷好意的人可能會(huì)利用代碼從系統(tǒng)層面攻擊電腦。
概念證明顯示,不管使用者用何種身份登錄都面臨風(fēng)險(xiǎn),用Windows用戶帳戶登錄倒是比用管理員帳戶登錄要安全一些。造成這種風(fēng)險(xiǎn)的原因正是PC商預(yù)裝了膨脹軟件,它留有漏洞。
卡內(nèi)基·梅隆大學(xué)的美國(guó)計(jì)算機(jī)應(yīng)急籌備小組(US-CERT)警告稱:“聯(lián)想解決方案中心應(yīng)用程序存在多個(gè)漏洞,攻擊者可以獲得系統(tǒng)進(jìn)入特權(quán)并隨意執(zhí)行代碼!比绻脩舻卿浡(lián)想解決方案中心,攻擊者可以誘使或者哄騙用戶瀏覽惡意網(wǎng)頁(yè)、HTML郵件信息或附件,然后攻擊者可以通過(guò)系統(tǒng)權(quán)限執(zhí)行任意代碼。
聯(lián)想戴爾東芝電腦面臨風(fēng)險(xiǎn)
名為slipstream/RoL的安全專家指出,聯(lián)想解決方案中心“允許用戶快速診斷系統(tǒng)、網(wǎng)絡(luò)連接、及整個(gè)系統(tǒng)安全的狀況!彼鳛橐豁(xiàng)預(yù)裝服務(wù)運(yùn)行在聯(lián)想PC的系統(tǒng)層,遺憾的是通過(guò)聯(lián)想解決方案中心應(yīng)用程序3.1.004及以下版本軟件,攻擊者可以將本地權(quán)限擴(kuò)大到系統(tǒng)權(quán)限,并在系統(tǒng)層遠(yuǎn)程執(zhí)行任何代碼,此時(shí)聯(lián)想解決方案中心已經(jīng)無(wú)法防御。
美國(guó)計(jì)算機(jī)應(yīng)急籌備小組列出了三個(gè)不同的聯(lián)想PC漏洞:聯(lián)想解決方案中心會(huì)創(chuàng)建一個(gè)名為L(zhǎng)SCTaskService的進(jìn)程,它運(yùn)行在系統(tǒng)層面,它會(huì)對(duì)關(guān)鍵資源進(jìn)行錯(cuò)誤權(quán)限分配;第二個(gè)漏洞是跨站點(diǎn)請(qǐng)求偽造(CSRF)漏洞;還有一個(gè)是目錄遍歷漏洞。美國(guó)計(jì)算機(jī)應(yīng)急籌備小組在報(bào)告中寫道:“看起來(lái)并非所有這些漏洞都需要用戶至少登錄聯(lián)想解決方案中心一次,只是簡(jiǎn)單關(guān)閉聯(lián)想解決方案中心,看起來(lái)也無(wú)法阻止LSCTaskService進(jìn)程漏洞的繼續(xù)存在!
在接到美國(guó)計(jì)算機(jī)應(yīng)急籌備小組的通報(bào)后,聯(lián)想也發(fā)出安全警告稱:“我們正在評(píng)估漏洞報(bào)告,我們會(huì)盡快提供軟件升級(jí)并修復(fù)漏洞。”在此之前用戶可以卸載聯(lián)想解決方案中心軟件。
安全專家發(fā)現(xiàn)漏洞
即使用戶很小心,沒(méi)有打開惡意鏈接和附件,只要運(yùn)行了聯(lián)想程序,攻擊也可能從驅(qū)動(dòng)下載潛入電腦系統(tǒng)。聯(lián)想稱預(yù)裝軟件只提供給ThinkPad產(chǎn)品。如果用戶使用的是ThinkPad、IdeaPad、ThinkCenter、IdeaCenter或ThinkState,安裝的是Win7及后續(xù)版本的系統(tǒng),可以先卸載聯(lián)想解決方案中心。
如果安裝有戴爾系統(tǒng)偵測(cè)軟件(Dell System Detect)6.12.0.1及以下版本,攻擊者可以擴(kuò)大權(quán)限,越過(guò)Windows用戶帳戶控制入侵電腦。與聯(lián)想不同,即使卸載戴爾支持軟件也無(wú)法解決問(wèn)題。專家提供的臨時(shí)解決方案是:卸載戴爾支持軟件,然后將DellSystemDetect.exe拉入黑名單。
同樣的,專家也建議卸載東芝服務(wù)站軟件。
據(jù)IDC統(tǒng)計(jì),2015年聯(lián)想PC出貨1490萬(wàn)臺(tái),戴爾超過(guò)1000萬(wàn)臺(tái)。東芝是第五大PC商,單是三季度出貨就達(dá)81萬(wàn)臺(tái)。三大企業(yè)銷售的PC數(shù)量龐大,影響的用戶范圍也很廣。(編譯/虎濤)
文章編輯: AiWeTalk在線客服軟件(reidrightsolutions.com)
我的評(píng)論
登錄賬號(hào): | 密碼: | 快速注冊(cè) | 找回密碼 |