新闻产经轻工日化电器通讯仪器机械冶金矿产建筑建材石油化工食品医药电子电工能源电力交通运输农业环保图片手机版
当前位置:中国市场调查网>产业>电工电子>  正文

联想电脑再曝重大漏洞 官方发布安全更新程序

中国市场调查网  时间:05/10/2015 10:13:27   来源:环球网

  据英国广播公司(BBC)5月6日报道,研究人员发现,联想在系统更新软件上存在重大漏洞,黑客可以绕开验证检查,将联想安装的程序替换成恶意软件,其后便可以执行任意指令。

  安全公司IOActive 的研究人员发现这一漏洞,并与今年2月份就给联想公司以提醒。联想承认这样情况属实,并敦促用户下载一个补丁来解决此问题。

  此事或与联想在系统预装广告软件有关。

  今年4月份联想发布了漏洞补丁,但研究结果却与本周才公开。

  研究人员发现,其中一个漏洞允许本地和远程攻击者“绕开验证检查,将联想安装的程序替换成恶意软件”。这一情况可能使联想用户面临所谓的“咖啡馆袭击”,攻击者可能在公共网络中趁虚而入。

  研究人员写到,“袭击者可以创建一份伪造的凭证对可执行文件签名,让恶意软件伪装成联想自己的官方软件。”另外两个漏洞允许攻击者更大程度控制用户系统。

  萨利大学安全专家,艾伦?伍德沃德教授说,“这可能导致系统运行恶意命令。联想似乎在安全方面还存在问题,用户或面临被远程窃听的风险。”伍德沃德教授表示, 2月份联想就被曝产品预装有潜在危险性的软件,此次安全事件再次曝出,令人非常失望。他补充道,“这是联想构建‘安全网络’中一个可悲的记录。”

  联想公司被迫删除已经预装在其它机子中的广告软件“Superfish”,该软件给用户安全构成了潜在的威胁。

  联想提供给客户一个工具来删除软件,但在系统交互中却被认为是恶意软件。

  联想的一位发言人表示, 其开发和安全团队曾与IOActive公司合作调查其系统更新功能中的漏洞。

  研究人员在公布研究结果之前给了联想足够时间解决问题。

  电脑制造商补充道,“用户会被提示安装更新系统,或者根据用户手册手动更新。联想建议所用用户更新系统,消除漏洞。”