聯想被發現捆綁軟件帶來的漏洞卻依舊我行我素

Slipstream等安全研究機構接連曝出了PC制造商們的多起“重大錯誤”。

聯想、戴爾和東芝等作為比較優秀的PC制造商，一直深得用戶的信賴。然而最近一年，Slipstream等安全研究機構接連曝出了PC制造商們的多起“重大錯誤”。大家在出售的PC上檢查出了許多的“捆綁軟件”、甚至安全漏洞，出現種情況作為廠家應該是及時解決和維護，然而聯想和戴爾依然在近幾個月我行我素，情況的嚴重程度無須贅述。

CERT和Slipstream對這些bug進行了一番匯總并提出了解決方案。聯想方面的主要問題是一個名叫LSCTaskService的進程，其以完整的管理員權限運行，并且啟用了55555端口上的一個web服務器。通過GET和POST HTTP請求，即可在本地用戶可訪問的目錄中執行代碼；Lenovo Solution Center以完整權限運行時，磁盤上任意位置會允許寫入，位于這些位置的某些不良軟件會被以管理員權限執行。

戴爾相較于聯想稍好，其捆綁的Dell System Detect工具軟件，可獲取管理員權限和執行任意命令?？赏ㄟ^dell.com下載一個安全口令，但也易被濫用、以管理員權限執行各種程序。東芝捆綁的Service Station工具可被正常用戶和未經授權的軟件利用，以系統級權限讀取操作系統中的大部分注冊表。

當前，US CERT和聯想給出的建議都是卸載Lenovo System Center，至于其它廠商，我們目前為止還沒用任何官方建議。不過也有解決方案提出卸載或關閉Lenovo Solution Center，以防止這些漏洞被利用；同時關閉任何運行中的Lenovo Solution Center實例。但具體是否有效還有待考究。

最后，記得關注微信公眾號：鎂客網（im2maker），更多干貨在等你！