据美国科技博客TheVerge报道,安全公司IOActive近日在联想电脑的系统升级中发现了多个安全漏洞,虽然联想已经发布了一个补丁以修复这些漏洞,但其产品的安全性依旧令人感到担忧。 3个月前,全球第一大PC厂商联想曾因在电脑中预装恶意软件而遭到质疑,今天该公司再次因安全措施松懈遭受批评。安全公司IOActive在最新报告中称,他们在联想电脑的系统升级中发现了多个重大安全漏洞,可以让黑客绕过验证检测,用恶意软件替代联想合法程序,然后在远程执行指令。 据IOActive研究人员介绍,通过这样的安全漏洞,攻击者可以创建虚假认证授权,对可执行文件进行签名,从而让恶意软件伪装成联想官方软件的模样。如果联想电脑用户在咖啡厅升级系统,攻击者可以利用这个安全漏洞,用他们的程序来替换联想官方程序——IOActive研究人员将这种攻击手段称为“典型咖啡厅攻击”(classiccoffeeshopattack)。这个安全漏洞连同IOActive发现的其他安全漏洞,都存在于联想系统升级5.6.0.27及更早的版本中。 安全专家在今年二月份首次发现了这些漏洞,并且将这种情况通知了联想,以便令其及时做出修复。联想在上个月发布了一个可移除上述漏洞的补丁,但联想电脑用户需要自己下载这个补丁,从而避免自己的电脑面临IOActive所称的“巨大安全风险”。虽然联想迅速采取措施消除了这些安全隐患,但随着这个世界上最大PC厂商的不断壮大,该公司软件中再次发现安全漏洞,不禁令人对其产品的安全性感到担忧。 推荐: |