據(jù)英國(guó)廣播公司(BBC)5月6日?qǐng)?bào)道，研究人員發(fā)現(xiàn)，聯(lián)想在系統(tǒng)更新軟件上存在重大漏洞，黑客可以繞開驗(yàn)證檢查，將聯(lián)想安裝的程序替換成惡意軟件，其后便可以執(zhí)行任意指令。

安全公司IOActive 的研究人員發(fā)現(xiàn)這一漏洞，并與今年2月份就給聯(lián)想公司以提醒。聯(lián)想承認(rèn)這樣情況屬實(shí)，并敦促用戶下載一個(gè)補(bǔ)丁來解決此問題。

此事或與聯(lián)想在系統(tǒng)預(yù)裝廣告軟件有關(guān)。

今年4月份聯(lián)想發(fā)布了漏洞補(bǔ)丁，但研究結(jié)果卻與本周才公開。

研究人員發(fā)現(xiàn)，其中一個(gè)漏洞允許本地和遠(yuǎn)程攻擊者“繞開驗(yàn)證檢查，將聯(lián)想安裝的程序替換成惡意軟件”。這一情況可能使聯(lián)想用戶面臨所謂的“咖啡館襲擊”，攻擊者可能在公共網(wǎng)絡(luò)中趁虛而入。

研究人員寫到，“襲擊者可以創(chuàng)建一份偽造的憑證對(duì)可執(zhí)行文件簽名，讓惡意軟件偽裝成聯(lián)想自己的官方軟件。”另外兩個(gè)漏洞允許攻擊者更大程度控制用戶系統(tǒng)。

薩利大學(xué)安全專家，艾倫?伍德沃德教授說，“這可能導(dǎo)致系統(tǒng)運(yùn)行惡意命令。聯(lián)想似乎在安全方面還存在問題，用戶或面臨被遠(yuǎn)程竊聽的風(fēng)險(xiǎn)。”伍德沃德教授表示， 2月份聯(lián)想就被曝產(chǎn)品預(yù)裝有潛在危險(xiǎn)性的軟件，此次安全事件再次曝出，令人非常失望。他補(bǔ)充道，“這是聯(lián)想構(gòu)建‘安全網(wǎng)絡(luò)’中一個(gè)可悲的記錄。”

聯(lián)想公司被迫刪除已經(jīng)預(yù)裝在其它機(jī)子中的廣告軟件“Superfish”，該軟件給用戶安全構(gòu)成了潛在的威脅。

聯(lián)想提供給客戶一個(gè)工具來刪除軟件，但在系統(tǒng)交互中卻被認(rèn)為是惡意軟件。

聯(lián)想的一位發(fā)言人表示， 其開發(fā)和安全團(tuán)隊(duì)曾與IOActive公司合作調(diào)查其系統(tǒng)更新功能中的漏洞。

研究人員在公布研究結(jié)果之前給了聯(lián)想足夠時(shí)間解決問題。

電腦制造商補(bǔ)充道，“用戶會(huì)被提示安裝更新系統(tǒng)，或者根據(jù)用戶手冊(cè)手動(dòng)更新。聯(lián)想建議所用用戶更新系統(tǒng)，消除漏洞。”