聯想電腦再曝重大漏洞 官方發佈安全更新程式
- 發佈時間:2015-05-08 14:15:00 來源:環球網 責任編輯:王磊
據英國廣播公司(BBC)5月6日報道,研究人員發現,聯想在系統更新軟體上存在重大漏洞,駭客可以繞開驗證檢查,將聯想安裝的程式替換成惡意軟體,其後便可以執行任意指令。
安全公司IOActive 的研究人員發現這一漏洞,並與今年2月份就給聯想公司以提醒。聯想承認這樣情況屬實,並敦促用戶下載一個補丁來解決此問題。
此事或與聯想在系統預裝廣告軟體有關。
今年4月份聯想發佈了漏洞補丁,但研究結果卻與本週才公開。
研究人員發現,其中一個漏洞允許本地和遠端攻擊者“繞開驗證檢查,將聯想安裝的程式替換成惡意軟體”。這一情況可能使聯想用戶面臨所謂的“咖啡館襲擊”,攻擊者可能在公共網路中趁虛而入。
研究人員寫到,“襲擊者可以創建一份偽造的憑證對可執行文件簽名,讓惡意軟體偽裝成聯想自己的官方軟體。”另外兩個漏洞允許攻擊者更大程度控制用戶系統。
薩利大學安全專家,艾倫?伍德沃德教授説,“這可能導致系統運作惡意命令。聯想似乎在安全方面還存在問題,用戶或面臨被遠端竊聽的風險。”伍德沃德教授表示, 2月份聯想就被曝産品預裝有潛在危險性的軟體,此次安全事件再次曝出,令人非常失望。他補充道,“這是聯想構建‘安全網路’中一個可悲的記錄。”
聯想公司被迫刪除已經預裝在其他機子中的廣告軟體“Superfish”,該軟體給用戶安全構成了潛在的威脅。
聯想提供給客戶一個工具來刪除軟體,但在系統交互中卻被認為是惡意軟體。
聯想的一位發言人表示, 其開發和安全團隊曾與IOActive公司合作調查其系統更新功能中的漏洞。
研究人員在公佈研究結果之前給了聯想足夠時間解決問題。
電腦製造商補充道,“用戶會被提示安裝更新系統,或者根據用戶手冊手動更新。聯想建議所用用戶更新系統,消除漏洞。”
