联想修复预装支持软件Lenovo Solution Center严重漏洞

联想修复预装支持软件Lenovo Solution Center严重漏洞

联想释出了补丁修复了旗下笔记本和台式机产品预装的支持软件Lenovo Solution Center的一个提权漏洞【注1。去年12月Lenovo Solution Center曾被曝出多个严重漏洞,其中也包含了一个提权漏洞。新的高危漏洞允许攻击者使用系统权限执行代码接管整个系统。联想用户打开该支持软件后会弹出升级提示,或者他们需要手动从联想网站下载最新版本 3.3.002。

【注1】去年新闻:戴尔、联想和东芝官方软件让PC更容易受攻击

OEM厂商在PC上预装的软件让攻击变得更容易。戴尔、联想和东芝公司的官方支持软件都被发现存在未修复的安全漏洞。一位安全研究人员公开了漏洞,并发布了POC代码OEMDrop。联想公司的Lenovo Solution Center工具包含了最令人担心的漏洞:名叫 LSCTaskService的服务监听来自55555端口的HTTP请求,LSCTaskService的关联文件LSCController.dll包含了允许通过 HTTP GET和POST请求调用的方法,能在未保护的目录%APPDATA%\LSC\Local Store使用系统权限执行任意代码。更糟糕的是,Lenovo Solution Center包含了路径遍历bug,允许访问用户配置文件所在的同驱动器下的任意文件。LSCTaskService还容易受到跨站请求伪造攻击。对这些问题,联想推荐客户移除Lenovo Solution Center。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/e992e50104b94a06ef98366bc83cb8c7.html