【环球科技综合报道】据英国广播公司(BBC)5月6日报道,研究人员发现,联想在系统更新软件上存在重大漏洞,黑客可以绕开验证检查,将联想安装的程序替换成恶意软件,其后便可以执行任意指令。
安全公司IOActive 的研究人员发现这一漏洞,并与今年2月份就给联想公司以提醒。联想承认这样情况属实,并敦促用户下载一个补丁来解决此问题。
此事或与联想在系统预装广告软件有关。
今年4月份联想发布了漏洞补丁,但研究结果却与本周才公开。
研究人员发现,其中一个漏洞允许本地和远程攻击者“绕开验证检查,将联想安装的程序替换成恶意软件”。这一情况可能使联想用户面临所谓的“咖啡馆袭击”,攻击者可能在公共网络中趁虚而入。
研究人员写到,“袭击者可以创建一份伪造的凭证对可执行文件签名,让恶意软件伪装成联想自己的官方软件。”另外两个漏洞允许攻击者更大程度控制用户系统。
萨利大学安全专家,艾伦?伍德沃德教授说,“这可能导致系统运行恶意命令。联想似乎在安全方面还存在问题,用户或面临被远程窃听的风险。”伍德沃德教授表示, 2月份联想就被曝产品预装有潜在危险性的软件,此次安全事件再次曝出,令人非常失望。他补充道,“这是联想构建‘安全网络’中一个可悲的记录。”
联想公司被迫删除已经预装在其它机子中的广告软件“Superfish”,该软件给用户安全构成了潜在的威胁。
联想提供给客户一个工具来删除软件,但在系统交互中却被认为是恶意软件。
联想的一位发言人表示, 其开发和安全团队曾与IOActive公司合作调查其系统更新功能中的漏洞。
研究人员在公布研究结果之前给了联想足够时间解决问题。
电脑制造商补充道,“用户会被提示安装更新系统,或者根据用户手册手动更新。联想建议所用用户更新系统,消除漏洞。”