联想笔记本电脑存在严重的安全漏洞

使用较旧的 Lenovo 笔记本电脑用户应警惕可能影响其 PC 使用的安全漏洞,尤其是他们的笔记本电脑仍在运行名为 Lenovo 解决方案中心的程序时。

据《笔记本电脑》杂志报道,安全研究人员Pen Test Partners 发现了一个安全漏洞,可以有将管理员权限移交给黑客或恶意软件。该缺陷来自于Lenovo笔记本电脑预装的“联想解决方案中心(Lenovo Solution Center)“,数百万旧款联想笔记本电脑可能会受到该缺陷的影响。因为 Lenovo 笔记本电脑已预装该程序多年,从 2011 年一直安装到 2018 年 11 月。

Pen Test Partners 于 8 月 22 日发布了关于该缺陷的帖子。在帖子中,Pen Test Partners 将该缺陷描述为”特权升级漏洞”,允许使用 DACL(自由访问控制列表)覆盖 Bug 和一个”硬连接”文件,让低权限用户完全控制他们通常不允许访问的文件。如果您聪明,则可以使用管理员或系统权限在系统上执行任意代码。

8月20日,联想就该缺陷发布了自己的安全警告。在这份声明中,联想表示,运行联想解决方案中心版本03.12.003的设备受该缺陷影响,并建议联想用户卸载联想解决方案中心(不再支持)并且迁移到联想Vantage或Lenovo 诊断。Lenovo 的安全警告声明还包括有关如何卸载运行 Windows 10、Windows 8 和 Windows 7 的设备的 Lenovo 解决方案中心的说明。

还值得注意的是,在帖子中,Pen Test Partners 还注意到联想解决方案中心计划的实际终止日期存在差异:

“尽管 Lenovo 对我的披露作出了回应,但当我们在 5 月份向他们报告这一消息时,他们的 LSC 下载页面指出,该工具在 2018 年 11 月终止了生命周期…但是,就在他们披露之后,我们注意到他们改变了终止日期,使其看起来像是在最后一个版本发布之前就结束了生命。他们自己的漏洞通报指出:”Lenovo 终止了对 Lenovo 解决方案中心的支持,并建议客户在 2018 年 4 月迁移到联想 Vantage 或 Lenovo 诊断。…但 LSC 的最后一个版本是在 2018 年 10 月 15 日。

Lenovo 是这样回应关于软件生命周期终止日期的差异:
“对于支持结束的应用程序,我们在过渡到新产品时继续更新应用程序的情况通常是确保尚未转换或选择不转换的客户仍然具有最低级别的支持,这种做法在行业中是常见的。”