安基网 欢乐生肖 资讯 安全报 查看内容

联想电脑预装的管理软件中,暗藏可被黑客接管系统的漏洞

2019-8-27 10:59| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 联想一个存在于大部份笔记本电脑内的装置管理软件,被安全厂商揭露含有漏洞,可使黑客取得管理员权限执行程序,甚至接管装置。研究人员还发现,这个软件可能在去年最后版本释出前,就被宣布终止支持(EOL)。编号为CVE-2019-6177的漏洞,由安全厂商Pentest Partners在联想Lenovo Solution Centre(LSC ...

联想一个存在于大部份笔记本电脑内的装置管理软件,被安全厂商揭露含有漏洞,可使黑客取得管理员权限执行程序,甚至接管装置。研究人员还发现,这个软件可能在去年最后版本释出前,就被宣布终止支持(EOL)。

编号为CVE-2019-6177的漏洞,由安全厂商Pentest Partners在联想Lenovo Solution Centre(LSC)软件中发现,影响03.12.003版本。LSC是从2011年开始,预安装在所有联想笔记本电脑、平板等装置中,所以联想产品存在风险可能高达8年之久。

这项漏洞来自判别式访问控制表(Discretionary Access Control List,DACL)复写,即电脑中高权限的行程,无差别复写掉低权限用户可控制的档案权限。

研究人员解释,高权限行程赋予所有系统用户该档案的完整控制权。低权限用户可撰写一个"永久连结"(hardlink)档案指向系统上任何其他档案,包括他没有存取权限的。而当联想电脑行程一经执行,就能以高权限复写掉被连结档案的权限,而使低权限使用者取得他原本没有的档案存取权限,使其得以用管理员或系统权限,执行任意代码。在LSC的案例中,在用户登入后10分钟,LSC就会执行高权限的排程作业,黑客可利用其排程作业执行权限升级攻击。研究人员呼吁联想用户电脑及早移除LSC。

这次漏洞揭露案还出现一段插曲。5月间研究人员通报联想时,联想表示LSC在2018年11月30日释出最后一版。但是根据联想最新安全公告,LSC早在2018年4月就抵达生命周期终点(End of Life,EOL),联想呼吁用户升级到Lenovo Diagnostics,也就是说,LSC最后一个版本释出前,支持就已终止。

The Register引述联想的说法指出,在过渡到新软件前持续更新旧软件,以提供用户最低限度的安全保障,这在业界其实是很普遍的作法。

这并非联想笔记本电脑的LSC首次出包。2015年LSC被研究人员发现暗藏发送恶意广告的恶意程式Superfish,隔年又被揭露二款可执行系统代码及跨站请求伪造(CSRF)的重大漏洞。

资料来源:iThome Security



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6729456909142721036/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
幸运飞艇官网 快赢彩票 极速3分彩 幸运赛车 欢乐生肖 快乐赛车开奖 欢乐生肖 澳洲幸运10开奖结果 欢乐生肖 幸运赛车