联想被发现捆绑软件带来的漏洞却依旧我行我素

Slipstream等安全研究机构接连曝出了PC制造商们的多起“重大错误”。

联想、戴尔和东芝等作为比较优秀的PC制造商，一直深得用户的信赖。然而最近一年，Slipstream等安全研究机构接连曝出了PC制造商们的多起“重大错误”。大家在出售的PC上检查出了许多的“捆绑软件”、甚至安全漏洞，出现种情况作为厂家应该是及时解决和维护，然而联想和戴尔依然在近几个月我行我素，情况的严重程度无须赘述。

CERT和Slipstream对这些bug进行了一番汇总并提出了解决方案。联想方面的主要问题是一个名叫LSCTaskService的进程，其以完整的管理员权限运行，并且启用了55555端口上的一个web服务器。通过GET和POST HTTP请求，即可在本地用户可访问的目录中执行代码；Lenovo Solution Center以完整权限运行时，磁盘上任意位置会允许写入，位于这些位置的某些不良软件会被以管理员权限执行。

戴尔相较于联想稍好，其捆绑的Dell System Detect工具软件，可获取管理员权限和执行任意命令。可通过dell.com下载一个安全口令，但也易被滥用、以管理员权限执行各种程序。东芝捆绑的Service Station工具可被正常用户和未经授权的软件利用，以系统级权限读取操作系统中的大部分注册表。

当前，US CERT和联想给出的建议都是卸载Lenovo System Center，至于其它厂商，我们目前为止还没用任何官方建议。不过也有解决方案提出卸载或关闭Lenovo Solution Center，以防止这些漏洞被利用；同时关闭任何运行中的Lenovo Solution Center实例。但具体是否有效还有待考究。

最后，记得关注微信公众号：镁客网（im2maker），更多干货在等你！