联想公司告知用户需尽快卸载含有漏洞的软件更新程序

阅读量113450

|

发布时间 : 2016-06-05 18:07:19

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:https://threatpost.com/lenovo-tells-users-to-uninstall-vulnerable-updater/118436/

译文仅供参考,具体内容表达以及含义原文为准。

https://p5.ssl.qhimg.com/t014303a01784b42b60.jpg

近日,联想公司(Lenovo)发表声明称,他们发现:在之前推出的软件更新程序中存在安全漏洞。因该漏洞在短时间内无法及时修复,故要求用户尽快在自己所使用的,安装有Win 10系统的联想笔记本或台式机中,卸载该软件更新程序。迄今为止,至少有110台联想的设备受到该漏洞的影响。

6月2日,Duo Security公司下属研究机构Duo Labs发布了一项调查结果。结果显示,全球五大热门PC生产商的笔记本预装软件存在重大安全隐患(即:bloatware vulnerabilities),其中就包括联想公司。随后,联想出于保护用户PC安全性的角度考虑,做出了决定:要求用户应停止使用联想PC在Win 10系统中自带的Lenovo Accelerator Application软件。

昨天,即6月1日,联想发布了一份安全公告。在该公告中,联想公司解释说,Lenovo Accelerator Application是一款由联想自主开发的,与联想公司服务器相连,为应用软件提供及时更新的系统软件;同时该软件也能加速其他应用程序的运行。现在,我们发现该软件面临网络中间人攻击(man-in-the-middle attack)的风险。

“我们提醒用户需尽快卸载这一应用程序。具体做法是:在你的Win 10 系统中,进入“Apps and Features”这一菜单栏,找到Lenovo Accelerator Application,进行卸载。对于购买了ThinkPad和ThinkStation两种产品的用户,可以不必担心,因为它们没有安装这一应用程序。”

去年,来自Duo Labs的安全研究员就在一份报告中提出:他们发现了Superfish和eDellRoot两个预装软件漏洞,从而证实PC中的预装软件存在安全隐患。随后,他们立即将此情况汇报给了Lenovo(联想)、Dell(戴尔),HP(惠普)、Asus(华硕)以及Acer(宏碁)等全球五大PC生产商,提醒他们需对此引起重视。

这种类型的预装软件是用于加强那些在商务PC和个人PC中所安装的软件的实用性。主要进行软件功能更新,而不涉及系统安全更新。

Duo Labs研究员将目光聚焦到了两款软件上,Lenovo Solutions Center和Update Agent。研究员在报告中指出,Lenovo Solutions Center能够预防网络中间人攻击,这种攻击也被视为预装软件的最大威胁所在。而Update Agent则可抵御远程命令执行攻击(RCE)。

Darren Kemp、Chris Czub以及Mikhail Davidov,三位来自Duo Labs的安全研究员,在报告中写到:“联想公司表示,这两种软件之间的最大不同就是OEM(原始设备制造商),用户很容易将其混淆。”
        Duo Labs主要关注的是Update Agent。他们称其为最差的软件更新程序之一,并补充到,它不含本地安全防护机制。

报告中还提到:“该软件中有可执行文件,运行要求也很明确,但没有代码执行检查的功能。”
        Update Agent每10分钟就与联想公司服务器进行一次ping连接。对于那些早已准备好,要实施中间人攻击的黑客来说,他们可利用这个时间,来修改服务器发出的响应消息,同时还可加入一些恶意的更新程序。因为在这一过程中,不需要进行任何的身份验证,传输信息也没有经过加密保护,容易进行篡改。黑客可以很轻松地向更新程序中加入恶意代码。

Davidoff说道: “Update Agent是Lenovo Accelerator Application的一部分。去年,在我们发现预装软件存在安全风险时,还不清楚Update Agent的合理用途是什么。联想公司让用户卸载程序的这一决定,让我感到有点奇怪。因为这种类型的更新程序一旦出现问题,系统就会自行卸载,不需要进行用户交互处理。因而,对于这一点,我有点不理解。

Duo Labs实验室表示,Lenovo Solutions Center和Update Agent的区别在于,Lenovo Solutions Center本身具有更多的安全保护措施,而Update Agent则几乎没有。很多说明都经过了验证,是有效的。更新服务及其说明都是通过HTTP请求来实现,正好给中间人攻击设置了障碍。

Darren Kemp告诉Threatpost网站说,在他们进行调查期间,联想给予了积极的配合。

“联想公司这种积极配合的态度,值得称道。他们为我们的调查,提供了很大的帮助。”

联想公司在公告中出示了一份清单,上面列出了所有受到漏洞影响的笔记本和台式机的型号,让用户自行确认。

这个问题不仅仅涉及到联想的产品。在所有Duo Labs实验室进行测试的设备中,都有类似的一系列漏洞,比如:缺乏加密保护、随意扩大当前用户权限以及远程代码攻击漏洞等。虽然一些厂商已经对自己的设备进行了加密保护,但设备还是无法实现一些功能,比如:进行安全验证检查。
        Duo Labs实验室同时还找到并私下解密了大量的安全漏洞,其中一半的漏洞具有很高的危险性,需要厂商对其引起高度重视。但Asus和Acer两家公司对此并未做出任何回应。从发现Asus设备中存在bug到现在,已经有125天的时间了。黑客可利用该bug进行远程命令执行攻击,以及扩大当前用户使用权限。而在Acer设备中的bug也存在了45天时间,黑客可通过该bug执行任意的恶意代码攻击。HP则对所反映7个漏洞中的4个,做出了回应。而只有Dell公司,是做得最好的一家公司。他们在接到安全通知后,就迅速修复了一些漏洞,并对自己所生产的设备进行了安全评估,进一步降低了设备的安全风险。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
ResoLuT1On
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66