联想被发现捆绑软件带来的漏洞却依旧我行我素

周彤 8年前 (2015-12-11)

Slipstream等安全研究机构接连曝出了PC制造商们的多起“重大错误”。

联想戴尔东芝等作为比较优秀的PC制造商,一直深得用户的信赖。然而最近一年,Slipstream等安全研究机构接连曝出了PC制造商们的多起“重大错误”。大家在出售的PC上检查出了许多的“捆绑软件”、甚至安全漏洞,出现种情况作为厂家应该是及时解决和维护,然而联想和戴尔依然在近几个月我行我素,情况的严重程度无须赘述。

CERT和Slipstream对这些bug进行了一番汇总并提出了解决方案。联想方面的主要问题是一个名叫LSCTaskService的进程,其以完整的管理员权限运行,并且启用了55555端口上的一个web服务器。通过GET和POST HTTP请求,即可在本地用户可访问的目录中执行代码;Lenovo Solution Center以完整权限运行时,磁盘上任意位置会允许写入,位于这些位置的某些不良软件会被以管理员权限执行。

戴尔相较于联想稍好,其捆绑的Dell System Detect工具软件,可获取管理员权限和执行任意命令。可通过dell.com下载一个安全口令,但也易被滥用、以管理员权限执行各种程序。东芝捆绑的Service Station工具可被正常用户和未经授权的软件利用,以系统级权限读取操作系统中的大部分注册表。

当前,US CERT和联想给出的建议都是卸载Lenovo System Center,至于其它厂商,我们目前为止还没用任何官方建议。不过也有解决方案提出卸载或关闭Lenovo Solution Center,以防止这些漏洞被利用;同时关闭任何运行中的Lenovo Solution Center实例。但具体是否有效还有待考究。

最后,记得关注微信公众号:镁客网(im2maker),更多干货在等你!

镁客网


科技 | 人文 | 行业

微信ID:im2maker
长按识别二维码关注

硬科技产业媒体

关注技术驱动创新

分享到