戴尔的eDellRoot预装软件漏洞的余波还未完全平息,近日网上又曝出厂商PC预装软件出现漏洞的消息:戴尔、联想、东芝三家企业的个人与企业PC,以及平板电脑的预装软件上都出现了严重的,可能会影响数百万用户的系统级漏洞。黑客会利用经过伪装的网页或者邮件附件使用户中招,并利用漏洞进行攻击。
上周四在卡内基·梅隆大学的公共漏洞数据库(CERT)发表的一篇资讯称,安全专家slipstream/RoL发现了联想为PC提供的预装软件“联想解决方案中心(Lenovo Solution Center)”包含多个漏洞,这些漏洞都有可能让黑客拥有系统及权限并执行任意代码。
“联想解决方案中心”是联想为用户提供浏览系统健康程度,安全性和网络状态的程序,被预装在联想旗下多个品牌的PC和平板中,包括Think系列的ThinkPad、ThinkPad平板电脑、ThinkCenter、ThinkStation,以及Idea系列的IdeaCenter和部分运行WIndows 7或者更高系统的IdeaPad笔记本电脑。
联想发言人并未公布受影响PC的具体型号和数字,但已经在安全公告上表示:“我们正在紧急评估漏洞报告,并尽快提供更新和程序修复。更多的消息将会在更新发放之后公布。”
联想并没有表示何时会修复软件漏洞,但在安全公告中称,卸载“联想解决方案中心”能够规避漏洞带来的风险。
东芝预装软件“Toshiba Service Station”中的漏洞也是由slipstream/RoL发现的。这款为用户提供软件升级服务的预装软件,拥有比标准用户更高的权限,并允许登录用户获取一部分系统权限来读取注册表。slipstream/RoL表示,黑客能够通过这款软件来修改任何注册表项的权限来进行攻击。
对戴尔而言这已经是2015年冬季的第二起重大安全问题了——并且两次问题都被同一个安全专家发现。
slipstream/RoL表示,戴尔预装的“Dell System Detect”系统检测软件能够在检测用户系统的过程中强行绕过Windows安全保护功能并升级用户特权。这时黑客便能够利用带有数字签名的程序请求用户通过“用户帐户控制”给予更高权限。
讽刺的是,戴尔上个星期被发现的漏洞能够让黑客通过中间人攻击来自行伪造证书再对PC进行攻击,而这一次,黑客们连伪造证书的步骤都不需要了。
目前东芝和戴尔目前未就各自的安全事件作出评论。
根据联想八月中旬发放的财报可以得知,今年第三季度,联想PC出货量为1350万台,但是并不清楚有多少PC和平板电脑预装了带有漏洞的软件。
根据IDC的数据,戴尔今年第三季度的全球PC出货量为1010万台;东芝第三季度在美国的PC出国量为81万台,但不清楚全球的PC出货量。
如果这些安全问题不能够得到及时有效的解决,厂商难以做到防患于未然的话,用户购买新PC的积极性将会大受打击。■