联想全系电脑被爆出拥有巨大漏洞,紧急修复
个人电脑大厂联想(Lenovo)传出在其在桌上型与笔记型电脑随附的工具软件藏有重大安全漏洞,可让黑客取得系统层级权限执行恶意程式,联想已于4月底的安全更新紧急修复此一漏洞。
发现此一漏洞的资安公司Trustware表示,该公司安全人员能够透过联想的Lenovo Solution Center(LSC)软件漏洞取得系统权限,并执行恶意程式,甚至在使用者未开启执行LSC应用软件的状况下,仍可得逞。
由于LSC被安装在联想所有出厂的标准产品上,因此几乎所有的联想电脑,若未尽速更新,都仍暴露在风险中。
联想表示,出问题的软体由两个元件组成,一个是前端使用者介面,另一个则是后端服务流程LSCTaskService,后者在使用者未开启LSC的状况下,仍会执行,而软体漏洞也发生在后端服务这层,可导致本地端使用者执行任何系统层级的程序代码;此外,由于该软体另有跨站请求伪造(CSRF)漏洞,一旦使用者连上了恶意网页,仍可能遭到攻击。
尽管联想已经修补漏洞,但此类由硬体厂商随附的工具软件本身的安全问题,也成为常见隐忧。此类非由消费者主动安装的软体又被戏称为「臃肿软件」或「垃圾软件」,由于硬体厂商多半利用其提供系统安全、系统健检等服务,常常发生系统层的安全风险,光是过去两年,联想便发生三起有关问题。