聯想建議用戶移除有漏洞的預載軟體，數十款型號受波及

william77

聯想敦促用戶儘快移除有漏洞的聯想品牌電腦預載軟體Lenovo Accelerator，聯想指出相關漏洞藏在Lenovo Accelerator的更新機制中，可連結聯想伺服器以確認是否提供軟體更新。

聯想（Lenovo）於本周敦促用戶移除聯想品牌電腦上內建的Lenovo Accelerator，原因為該軟體含有可惹來中間人攻擊的安全漏洞。
Lenovo Accelerator主要是用來加速聯想程式的執行，被安裝在某些預載Windows 10作業系統的桌機或筆電上。
聯想說明，相關漏洞藏匿在Lenovo Accelerator的更新機制中，該更新機制可連結聯想伺服器以確認有否可供更新的軟體版本。
安全研究公司Duo Security日前即曾警告五大PC品牌電腦所內建的更新機制含有中間人攻擊風險（man-in-the-middle, MITM），被點名的業者包括Dell、HP、Asus、宏碁與聯想，並指出聯想的UpdateAgent是最糟糕的更新機制之一，它每十分鐘就會連結聯想伺服器，而且採用未加密的HTTP通訊協定，很容易讓駭客趁虛而入。
此次的漏洞顯然與Duo Security的研究有關，因為聯想在聲明稿下方提供了Duo Security的參考連結。
聯想指示使用者可透過Windows 10中的Apps and Features直接將Lenovo Accelerator移除。該漏洞影響了數十款型號的聯想個人電腦，但並不包含ThinkPad及ThinkStation兩大品牌。