据英国公司(BBC)5月6日报道,研究人员发现,联想在系统更新软件上存在重大漏洞,黑客可以绕开验证检查,将联想安装的程序替换成恶意软件,其后便可以执行任意指令。
安全公司IOActive 的研究人员发现这一漏洞,并与今年2月份就给联想公司以提醒。联想承认这样情况属实,并敦促用户下载一个补丁来解决此问题。
研究人员发现,其中一个漏洞允许本地和远程者“绕开验证检查,将联想安装的程序替换成恶意软件”。这一情况可能使联想用户面临所谓的“咖啡馆袭击”,者可能在公共网络中趁虚而入。
研究人员写到,“袭击者可以创建一份伪造的凭证对可执行文件签名,让恶意软件伪装成联想自己的软件。”另外两个漏洞允许者更大程度控制用户系统。
萨利大学安全专家,艾伦?伍德沃德教授说,“这可能导致系统运意命令。联想似乎在安全方面还存在问题,用户或面临被远程的风险。”伍德沃德教授表示, 2月份联想就被曝产品预装有潜在性的软件,此次安全事件再次曝出,令人非常失望。他补充道,“这是联想构建‘安全网络’中一个可悲的记录。”
联想公司删除已经预装在其它机子中的广告软件“Superfish”,该软件给用户安全构成了潜在的。
联想的一位发言人表示, 其开发和安全团队曾与IOActive公司合作调查其系统更新功能中的漏洞。
电脑制造商补充道,“用户会被提示安装更新系统,或者根据用户手册手动更新。联想所用用户更新系统,消除漏洞。”(实习编译:唐晔 审稿:陈薇)
推荐:
网友评论 ()条 查看