最近一年,Slipstream等安全研究機構接連曝出了PC制造商們的多起“重大錯誤”。大家在聯想、戴爾和東芝等廠家出售的PC上檢查出了許多的‘捆綁軟件’、甚至安全漏洞,然而這對于它們來說并非新鮮事,比如聯想和戴爾依然在近幾個月我行我素。情況的嚴重程度無須贅述,比如聯想方面的漏洞就可被利用來遠程觸發和執行系統級的許可。
CERT和Slipstream對這些bug進行了一番匯總:
聯想:
1)Lenovo Solution Center創建了一個名叫LSCTaskService的進程,其以完整的管理員權限運行,并且啟用了55555端口上的一個web服務器。通過GET和POST HTTP請求,即可在本地用戶可訪問的目錄中執行代碼;
2)Lenovo Solution Center以完整權限運行時,磁盤上任意位置會允許寫入,位于這些位置的某些不良軟件會被以管理員權限執行;
3)LSCTaskService進程存在一個經典跨站請求偽造(CSRF)漏洞,使得任意訪問網頁通過將命令傳遞到本地web服務器,并以完整權限運行。
戴爾:
其捆綁的Dell System Detect工具軟件,可獲取管理員權限和執行任意命令。其可通過dell.com下載一個安全口令,但也易被濫用、以管理員權限執行各種程序(包括惡意軟件)。
東芝:
捆綁的Service Station工具可被正常用戶和未經授權的軟件利用,以系統級權限讀取操作系統中的大部分注冊表。
當前,US CERT和聯想給出的建議都是卸載Lenovo System Center,至于其它廠商,我們目前為止還未聽到任何官方建議。
解決方案:
CERT/CC暫不知針對該問題的確切方案,不過大家可以參考如下方法:
卸載或關閉Lenovo Solution Center,以防止這些漏洞被利用;同時關閉任何運行中的Lenovo Solution Center實例。
京公網安備 11010502049343號