当前位置:首页 - oy3qL2 - 正文

君子好学,自强不息!

原标题:预装在联想电脑上的管理软件隐藏了漏洞,有可能被黑客窃取。

联想是一款存在于大多数笔记本电脑中的设备管理软件,安全供应商已经揭露了它包含的漏洞,这些漏洞允许黑客获得管理员权限来执行程序,甚至接管设备。研究人员还发现,在去年发布最终版本之前,该软件可能已经宣布停产。

安全供应商戊烯斯特合作伙伴在联想解决方案中心(LSC)软件中发现了编号为CVE-2019-6177的漏洞,影响了版本03.12.003。自2011年以来,LSC已预装在所有联想笔记本电脑、平板电脑和其他设备上,因此联想产品的风险可能长达8年。

此漏洞来自自由访问控制列表(DACL)的复制,即计算机中的高权限传输将无差别地复制低权限用户可以控制的文件权限。

研究人员解释说,高特权路线让所有系统用户完全控制文件。权限较低的用户可以写一个“硬链接”文件来指向系统上的任何其他文件,包括他无权访问的文件。但是,一旦联想的计算机程序被执行,它将能够覆盖具有高权限的链接文件的权限,使得具有低权限的用户可以获得他们原本没有的文件访问权限,使他们能够以管理员或系统权限执行任意代码。以LSC为例,在用户登录10分钟后,LSC将执行高特权调度操作,黑客可以使用这些操作来执行特权升级攻击。研究人员呼吁联想用户的电脑尽快移除LSC。

泄密事件中也有一段插曲。当研究人员5月份报告联想时,联想表示LSC将于2018年11月30日发布最终版本。然而,根据联想最新的安全公告,LSC早在2018年4月就达到了生命终结。联想呼吁用户升级到联想诊断(Lenovo Diagnostics),也就是说,在LSC的上一个版本发布之前,支持已经终止。

《登记册》援引联想的话说,在向新软件过渡之前,不断更新旧软件,为用户提供最低限度的安全性,这是业界的普遍做法。

这不是联想的第一个LSC套餐。2015年,研究人员发现LSC隐藏了发送恶意广告的恶意程序超级鱼。第二年,可执行系统代码和跨站点请求伪造(CSRF)的两个主要漏洞暴露出来。

资料来源:搜狐安全返回查看更多

负责任的编辑:

这里是分享代码,在后台添加

本文来源:2 5微信扫雷群

本文地址:https://hongbaoqundns3.cn/post/49.html

关注我们:微信搜索“xiaoqihvlove”添加我为好友

版权声明:如无特别注明,转载请注明本文地址!

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。