聯(lián)想被發(fā)現捆綁軟件帶來(lái)的漏洞卻依舊我行我素

Slipstream等安全研究機構接連曝出了PC制造商們的多起“重大錯誤”。

聯(lián)想、戴爾和東芝等作為比較優(yōu)秀的PC制造商，一直深得用戶(hù)的信賴(lài)。然而最近一年，Slipstream等安全研究機構接連曝出了PC制造商們的多起“重大錯誤”。大家在出售的PC上檢查出了許多的“捆綁軟件”、甚至安全漏洞，出現種情況作為廠(chǎng)家應該是及時(shí)解決和維護，然而聯(lián)想和戴爾依然在近幾個(gè)月我行我素，情況的嚴重程度無(wú)須贅述。

CERT和Slipstream對這些bug進(jìn)行了一番匯總并提出了解決方案。聯(lián)想方面的主要問(wèn)題是一個(gè)名叫LSCTaskService的進(jìn)程，其以完整的管理員權限運行，并且啟用了55555端口上的一個(gè)web服務(wù)器。通過(guò)GET和POST HTTP請求，即可在本地用戶(hù)可訪(fǎng)問(wèn)的目錄中執行代碼；Lenovo Solution Center以完整權限運行時(shí)，磁盤(pán)上任意位置會(huì )允許寫(xiě)入，位于這些位置的某些不良軟件會(huì )被以管理員權限執行。

戴爾相較于聯(lián)想稍好，其捆綁的Dell System Detect工具軟件，可獲取管理員權限和執行任意命令?？赏ㄟ^(guò)dell.com下載一個(gè)安全口令，但也易被濫用、以管理員權限執行各種程序。東芝捆綁的Service Station工具可被正常用戶(hù)和未經(jīng)授權的軟件利用，以系統級權限讀取操作系統中的大部分注冊表。

當前，US CERT和聯(lián)想給出的建議都是卸載Lenovo System Center，至于其它廠(chǎng)商，我們目前為止還沒(méi)用任何官方建議。不過(guò)也有解決方案提出卸載或關(guān)閉Lenovo Solution Center，以防止這些漏洞被利用；同時(shí)關(guān)閉任何運行中的Lenovo Solution Center實(shí)例。但具體是否有效還有待考究。

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！