首页 >娱乐

联想与其它OEM厂家被发现更多捆绑软件带

2019-01-11 17:15:04 | 来源: 娱乐

近一年,Slipstream等安全研究机构接连曝出了PC制造商们的多起“重大错误”。大家在联想、戴尔和东芝等厂家出售的PC上检查出了许多的‘捆绑软件’、甚至安全漏洞,然而这对于它们来说并非新鲜事,比如联想和戴尔依然在近几个月我行我素。情况的严重程度无须赘述,比如联想方面的漏洞就可被利用来远程触发和执行系统级的许可。

CERT和Slipstream对这些bug进行了一番汇总:

联想:

1)Lenovo Solution Center创建了一个名叫LSCTaskService的进程,其以完整的管理员权限运行,并且启用了55555端口上的一个web服务器。通过GET和POST HTTP请求,即可在本地用户可访问的目录中执行代码;

2)Lenovo Solution Center以完整权限运行时,磁盘上任意位置会允许写入,位于这些位置的某些不良软件会被以管理员权限执行;

3)LSCTaskService进程存在一个经典跨站请求伪造(CSRF)漏洞,使得任意访问页通过将命令传递到本地web服务器,并以完整权限运行。

戴尔:

其捆绑的Dell System Detect工具软件,可获取管理员权限和执行任意命令。其可通过下载一个安全口令,但也易被滥用、以管理员权限执行各种程序(包括恶意软件)。

东芝:

捆绑的Service Station工具可被正常用户和未经授权的软件利用,以系统级权限读取操作系统中的大部分注册表。

当前,US CERT和联想给出的建议都是卸载Lenovo System Center,至于其它厂商,我们目前为止还未听到任何官方建议。

解决方案:

CERT/CC暂不知针对该问题的确切方案,不过大家可以参考如下方法:

卸载或关闭Lenovo Solution Center,以防止这些漏洞被利用;同时关闭任何运行中的Lenovo Solution Center实例。

[编译自:SlashGear , 来源:The Register]

N软公众号扫一扫 观点新鲜独到,有料有趣,有互动、有情怀、有福利!关注科技,关注N软,让我们生活更加美好!

单身父亲 把蹩脚当作高大上,你之所以不死,是因为现在还没有一个同样的app从窒息的环境中生长出来。明明无比臃肿和死难用,非要说很简洁方便。用”已读“”上线离线“这些煞笔要求来掩盖真正的缺陷,自欺欺人。

电动洒水车厂家
玻璃棉保温管
专业做标书

猜你喜欢