当前位置:主页>资 讯>安全动态>

联想LSE存高危漏洞,重装系统也无法消除

联想在其笔记本电脑中隐藏了不可移除的软件,不幸的是,这个软件造成了很大的安全隐患。如果这个“垃圾”软件从操作系统中被删除,不管是完全重装操作系统还是格式化硬盘,电脑的固件还是会悄悄地自动地在下次电脑启动时重新安装到系统中。

内置在电脑主板固件上的是一段名为“联想服务引擎”(LSE)的代码,如果操作系统重装,LSE就会在下次启动时,在Windows系统启动前执行。LSE会确保C:\Windows\system32\autochk.exe是联想autochk.exe文件的变体,如果是微软的官方版本,它就会将其移除并取而代之。在系统启动时,还会检测文件系统以确定自身没有被破坏。它还能保证联想的更新程序LenovoUpdate.exe和LenovoCheck.exe位于system32目录下,否则就会在下次启动中把这两个程序复制进去。如果手动将其删除或卸载,下次系统启动后它又会通过固件中的代码不请自来。LenovoUpdate.exe和LenovoCheck.exe在系统启动时会以管理员权限自动启动,并自动连接互联网下载和安装驱动程序。

LSE利用微软Windows平台二进制表(WPBT)来达到自身的目的。WPBT允许PC生产商从主板固件将驱动、程序和其他文件插入操作系统。WPBT存储在固件中,它告诉Windows内存何处可以找到可执行程序运行,并负责文件的安装,而这一切都在操作系统启动之前。

微软的官方文档这样写道:在操作系统安装过程中,Windows会读取WPBT来获得平台二进制的物理内存地址。“在操作系统安装过程中,二进制代码必须为本机,并且是用户模式的应用才会被Windows会话管理器执行。Windows会在磁盘上写入一个平面镜像,而会话管理器则会启动这些进程。”

WPBT的文档强调:WPBT最初目的是使得一些关键的系统软件得以保留,即使在操作系统被改变或是以“干净”的配置重新安全装的情况下,因为这个功能提供在Windows环境下持久执行系统软件的能力在Windows系统配置中被强行保留的能力。基于WPBT的解决方案要做到安全最大化,避免Windows用户处于被利用的环境下,因此这种能力是至关重要的。

安全研究人员Roel Schouwenberg发现并报告了一个LSE中的缓冲溢出漏洞,利用这个漏洞可以入侵低权限的系统软件并获得管理员权限。当获悉这个漏洞时,联想认为在使用WPBT的强大功能上,其LSE和微软的安全指南有冲突,并决定将LSE从新的笔记本电脑中彻底移除。联想还从新型的桌面计算机中移除了LSE,这些桌面计算机会回传主系统数据但是不会下载或安装额外的软件。

(责任编辑:腰编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部