当前位置:主页>产 业>业界新闻>

PC制造商联想被爆存在重大的安全漏洞 威胁用户安全

全球最大的PC制造商-联想被曝光存在重大的安全漏洞。黑客利用联想的产品更新服务漏洞,发动中间人(MiTM)攻击,就可以把木马下载到用户的系统上。

此前联想就因为在PC上预装Superfish广告程序而颇受争议,因为这个广告程序会导致 用户面临MITM 攻击的威胁。 紧接着,安全公司IOActive 又曝光联想存在这样的用户安全问题。

IOActive的研究人员 迈克尔·米尔维奇(Michael Milvich) 和 索菲恩·塔尔玛(Sofiane Talmat) 在 公告中指出,用户可以通过联想的系统更新服务从联想的网站上下载最新的驱动和安全补丁。但是,他们发现联想的系统更新服务中存在“重大的”权限漏洞。

研究人员在今年 2 月发现了这个漏洞。由于,联想已经在给定的期限内开发了漏洞修复补丁,所以他们在上个月公开了这个漏洞。

虽然该补丁程序修复了这些问题,但是用户只有下载安全更新才能保护自己。

米尔维奇和塔尔玛说,黑客可以本地或远程利用其中的一个漏洞CVE-2015-2233,绕过设备的签名验证检查,并把受信任的联想应用程序替换成木马。

另一个 bug--CVE-2015-2219是联想安全令牌系统上的一个漏洞。利用这个漏洞,最小权限用户也能获取最高权限,并运行自己的恶意命令和程序,受影响的设备包括联想的PC,笔记本电脑以及其他设备。

研究人员称,“非权限的用户都能发送任何执行命令,这绝对是重大的安全漏洞。”

第三个漏洞是CVE-2015-2234,通过这个漏洞,非特权用户就能以管理员用户身份运行的命令。

这个问题会影响到联想系统更新程序 5.6.0.27 及更早版本。

研究人员解释了一下CVE-2015-2233: 系统更新的作用是在线下载并运行可执行程序。出于安全考虑,联想会签名可执行程序并在运行前首先检查程序的签名,但是很可惜的是,联想不会完全验证这些签名。这样的话,黑客就可以创建一个虚假的证书颁发机构,用于签名可执行文件。

接着,黑客远程执行中间人攻击(经典的咖啡馆攻击),利用这一漏洞,把联想的可执行程序替换成恶意木马。

联想集团,总部设在中国和美国北卡罗莱纳州,是世界上最大的 PC 制造商。联想起步于中国。在10年前,联想收购了IBM的PC业务,才逐步走向世界。

然而, 在近几个月中,独立的网络安全专家一直在批评联想不断出现的安全问题和权限漏洞。

安全服务公司ISX的主管兼诺丁汉特伦特大学客座教授,约翰 ? 沃克尔(John Walker)告诉 SCMagazineUK.com说:这样一家世界知名企业,居然部署的设备根本不能发挥应有的作用,甚至是相当不安全。

“现在的黑客都说,在发动攻击时,根本不用想新招,利用现有的系统和机制就足够了。”

“黑客们都喜欢从意想不到的地方下手,利用这种方法,黑客可以轻松地把大量地木马植入企业环境中。”

Lancope的首席技术官-柯尼尼(TK Keanini)给SCMagazineUK.com发邮件说:“联想开发的这套软件是为了帮助用户管理和使用计算机。任何软件都有存在漏洞的可能,并且任何软件都必须要经常维护才能应对不断出现的网络威胁。”

“虽然,用户有责任不断更新自己的计算机,但是,联想不能仅仅提供这样的服务。企业需要通过各种方式,确保用户会修复自己的设备。“

IOActive 的高级安全顾问-索菲恩·塔尔玛(Sofiane Talmat)向SCMagazineUK.com证实,联想已经修复了相关问题,但是,用户必须下载最新版本的更新软件。

联想在邮件中告诉 SC并发表声明称: "联想的开发和安全小组与IOActive合作修复了系统更新漏洞,他们都极其专业,我们也十分感激他们找到并报告了漏洞的发现。联想在 4 月1日 发布了最新版的联想系统更新应用,解决了这些漏洞。 我们之后又与IOActive协调了相关问题,并将安全公告发布在:https://support.lenovo.com/us/en/product_security/lsu_privilege.旧版的联想系统更新应用在运行时会提示用户,自动安装最新的版本更新。另外,用户也可以手动更新安全公告中提到的系统更新。联想建议所有用户都安装更新,修复IOActive发现的相关漏洞。”

(责任编辑:冬天的宇)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

中国重启银行业安全新规 下月征集意见

中国重启银行业安全新规 下月征集意见

8月19日,路透社今日援引知情人士的消息称,中国将重启银行业安全新规。在此之前,该...[详细]

网络安全准则还需“下一步”

网络安全准则还需“下一步”

近日,联合国信息安全问题政府专家组召开会议,并向联合国秘书长提交报告。专家组包括...[详细]

用大数据为互联网金融保驾护航

用大数据为互联网金融保驾护航

近日,在2015上海新金融年会暨外滩互联网金融外滩峰会上,中国人民银行条法司司长张涛...[详细]

互联网深刻变革:世界正向黑客帝国演进

互联网深刻变革:世界正向黑客帝国演进

2015年中国互联网大会于7月23日在北京国家会议中心闭幕了,很显然,由于去年办过一次...[详细]

《网络安全法》有望在三季度出台

《网络安全法》有望在三季度出台

2015年,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(...[详细]

返回首页 返回顶部