聯想PC預載軟體爆重大漏洞，緊急修補

william77

資安公司Trustware在聯想出廠PC所預載的軟體Lenovo Solution Center(LSC)中發現漏洞，可讓駭客取得權限，即使未啟用LSC仍可得逞。聯想已釋出安全更新修補。

個人電腦大廠聯想(Lenovo)傳出在其於桌上型與筆記型電腦隨附的工具軟體藏有重大安全漏洞，可讓駭客取得系統層級權限執行惡意程式，聯想已於4月底的安全更新緊急修復此一漏洞。

發現此一漏洞的資安公司Trustware表示，該公司安全人員能夠透過聯想的Lenovo Solution Center(LSC)軟體漏洞取得系統權限，並執行惡意程式，甚至在使用者未開啟執行LSC應用軟體的狀況下，仍可得逞。

由於LSC被安裝在聯想所有出廠的標準產品上，因此幾乎所有的聯想電腦，若未儘速更新，都仍暴露在風險中。

聯想表示，出問題的軟體由兩個元件組成，一個是前端使用者介面，另一個則是後端服務流程LSCTaskService，後者在使用者未開啟LSC的狀況下，仍會執行，而軟體漏洞也發生在後端服務這層，可導致本地端使用者執行任何系統層級的程式碼；此外，由於該軟體另有跨站請求偽造(CSRF)漏洞，一旦使用者連上了惡意網頁，仍可能遭到攻擊。

儘管聯想已經修補漏洞，但此類由硬體廠商隨附的工具軟體本身的安全問題，也成為常見隱憂。此類非由消費者主動安裝的軟體又被戲稱為「臃腫軟體」或「垃圾軟體」，由於硬體廠商多半利用其提供系統安全、系統健檢等服務，常常發生系統層的安全風險，光是過去兩年，聯想便發生三起有關問題。