聯(lián)想電腦再次被曝存在重大安全漏洞 黑客可以繞過(guò)驗(yàn)證

聯(lián)想被曝在電腦內(nèi)置危險(xiǎn)軟件3個(gè)月后，再次被曝出“安全措施松懈”。安全公司IOActive日前發(fā)布報(bào)告稱，他們?cè)诼?lián)想電腦升級(jí)系統(tǒng)中發(fā)現(xiàn)重大安全漏洞。這個(gè)漏洞允許黑客繞過(guò)驗(yàn)證檢查，用惡意軟件取代合法的聯(lián)想程序，并可遠(yuǎn)程運(yùn)行命令。

IOActive的安全專家解釋稱，通過(guò)其中一個(gè)漏洞，攻擊者可以創(chuàng)建虛假證書授權(quán)以簽署可執(zhí)行文件，允許惡意軟件偽裝成聯(lián)想官方發(fā)布的軟件。如果聯(lián)想用戶在咖啡店升級(jí)他們的電腦，其他人就可以利用這個(gè)安全漏洞用自己的軟件替換聯(lián)想程序，研究人員稱此為“經(jīng)典咖啡店攻擊”。這個(gè)安全漏洞與IOActive發(fā)現(xiàn)的其他漏洞，都存在于聯(lián)想升級(jí)系統(tǒng)5.6.0.27及其前代版本中。

早在2月份，安全專家們就已經(jīng)首次發(fā)現(xiàn)這些漏洞，并警告聯(lián)想補(bǔ)全漏洞。聯(lián)想已經(jīng)于4月份發(fā)布可以消除漏洞的補(bǔ)丁。但是聯(lián)想電腦用戶需要自己下載安全更新，以避免自己的電腦陷入IOActive所謂的“巨大安全風(fēng)險(xiǎn)”中。

盡管聯(lián)想對(duì)這些漏洞迅速做出反應(yīng)，但隨著這個(gè)世界上最大的PC制造商不斷發(fā)展壯大，在其軟件中發(fā)現(xiàn)另一個(gè)安全漏洞，的確令人感到尷尬。