在预装的联想电脑管理软件中,有一个漏洞可以被黑客所接管。

来源:周公喂鱼网

2019-09-11 22:45:09

在大多数笔记本电脑中都存在的设备管理软件联想(eol),已经被安全厂商暴露出来,这些漏洞允许黑客获得执行程序甚至接管设备的管理员权限。研究人员还发现,在去年发布最终版本之前,可能会宣布该软件终止对(EOL)的支持。

一个编号为CVE-2019-6177的漏洞是由安全供应商戊型合作伙伴在联想LSC软件中发现的,影响了03.12.003版。自2011年以来,联想的所有笔记本电脑、平板电脑和其他设备都预先安装了LSC,因此联想产品的风险可能长达八年。

该漏洞来自区分访问控制表(discretionaryaccesscontrollist,dacl)复制,即计算机中高权限的行程以及低权限用户可以控制的文件权限的难以区分的再现。

研究人员解释说,高访问权限使所有系统用户都能完全控制该文件。低权限用户可以编写一个永久链接(hardlink)文件,指向系统上的任何其他文件,包括如果他没有访问权限。一旦执行了联想计算机行程,它就可以高权限覆盖链接文件的权限,并使低权限用户获得对他没有的文件的访问权限,从而可以管理员或系统权限执行任意代码。对于LSC,在用户登录10分钟后,LSC执行一项高度授权的调度任务,黑客可以使用该任务执行权限升级攻击。研究人员呼吁联想用户尽快删除LSC。

泄密事件也有一个插曲。当研究人员在5月份通知联想时,联想表示LSC于2018年11月30日发布了最后一个版本。但根据联想最新的安全声明,LSC早在2018年4月就达到了生命周期的终结(endoflife,eol),联想呼吁用户升级到LSC,这意味着支持在LSC的上一个版本发布之前就已经终止。

该公司援引联想的话称,在向新软件过渡之前,不断更新旧软件,为用户提供最低限度的安全保障,是业内常见的做法。

这不是联想的LSC第一次从合同中出来。2015年,研究人员发现,发送恶意广告的恶意程序超级鱼(csrf)明年在执行系统代码和跨站点伪造请求(Csrf)时暴露出两个主要漏洞。

资料来源:安全

下一篇:最后一页