HP電腦使用8年的技術支援軟體含有多項安全漏洞，即使新版也仍有漏洞未補完

品牌電腦預安裝的管理軟體再傳有安全問題。安全研究人員發現，過去8年來內建於HP Windows電腦的技術支援軟體，一連出現權限升級、刪除檔案及遠端攻擊漏洞，雖然HP已經釋出最新版軟體，但還有部份漏洞仍未修補完成。

專門在Dell及Lenovo等主要品牌電腦研究腫脹軟體（bloatware）的安全研究人員Bill Demirkapi，近日公布在HP技術支援助理（HP Support Assistant）上的研究發現。這套軟體內建於2012年以來的HP電腦，作業系統涵括Windows 7、8及10。

Demirkapi在HP技術支援助理上，一共發現5個本機權限升級（local privilege escalation）、2個任意檔案刪除（arbitrary file deletion），以及3個遠端程式碼執行（RCE）漏洞。研究人員去年10月及今年1月兩度通報HP後，HP分別於去年12月及今年3月，修補了2個任意檔案刪除（arbitrary file deletion）及3個遠端程式碼執行（RCE）漏洞，不過還有三個本機權限升級漏洞沒有修補，其中一個即便HP修補了，但研究人員認為並不完全。

HP已經針對PC及印表機產品，釋出最新版技術支援助理9.6.587.0及8.8.24.33版，但該程式並不會自動更新，除非用戶之前提供明顯同意（opt-in）。

不過，有鑒於仍然有漏洞，研究人員及防毒公司ESET建議，最好的方法或許是將之移除。

品牌電腦預安裝的軟體，已經被安全專家視為腫脹軟體（bloatware），反而增加安全風險。Dell電腦的SupportAssist今年初、去年5月，以及去年6月，已3度被發現有安全漏洞。聯想Lenovo Solution Centre也在去年被爆，有可使駭客取得管理員權限執行程式，甚至接管裝置的漏洞。