圖片來源: 

聯想

個人電腦大廠聯想(Lenovo)傳出在其於桌上型與筆記型電腦隨附的工具軟體藏有重大安全漏洞,可讓駭客取得系統層級權限執行惡意程式,聯想已於4月底的安全更新緊急修復此一漏洞
 
發現此一漏洞的資安公司Trustware表示,該公司安全人員能夠透過聯想的Lenovo Solution Center(LSC)軟體漏洞取得系統權限,並執行惡意程式,甚至在使用者未開啟執行LSC應用軟體的狀況下,仍可得逞。
 
由於LSC被安裝在聯想所有出廠的標準產品上,因此幾乎所有的聯想電腦,若未儘速更新,都仍暴露在風險中。
 
聯想表示,出問題的軟體由兩個元件組成,一個是前端使用者介面,另一個則是後端服務流程LSCTaskService,後者在使用者未開啟LSC的狀況下,仍會執行,而軟體漏洞也發生在後端服務這層,可導致本地端使用者執行任何系統層級的程式碼;此外,由於該軟體另有跨站請求偽造(CSRF)漏洞,一旦使用者連上了惡意網頁,仍可能遭到攻擊。
 
儘管聯想已經修補漏洞,但此類由硬體廠商隨附的工具軟體本身的安全問題,也成為常見隱憂。此類非由消費者主動安裝的軟體又被戲稱為「臃腫軟體」或「垃圾軟體」,由於硬體廠商多半利用其提供系統安全、系統健檢等服務,常常發生系統層的安全風險,光是過去兩年,聯想便發生三起有關問題。

 


Advertisement

更多 iThome相關內容