要闻分享| 关注中国| 逆耳忠言| 不平则鸣| 情感天空| 健康生活| 流行时尚| 保险理财| 讽刺幽默| IT与游戏| 信息交流| 华发移民| 华发工作| 摄影美图

社会聚焦| 旅游天地| 娱乐八卦| 音乐视频| 校友互动| 网络社区| 房屋安家| 教育培训| 中医瑰宝| 专栏作者| 科技文化| 华发留学| 华发红娘| 关于本站

华发网China168.info海外中文门户网站

 找回密码
 立即注册

扫一扫,访问微社区

查看: 565|回复: 0

联想PC两个月之内再爆安全漏洞 Windows安全协议成空气

[复制链接]
发表于 2016-7-5 18:51:49 | 显示全部楼层 |阅读模式

联想PC两个月之内再爆安全漏洞 Windows安全协议成空气

联想PC两个月之内再爆安全漏洞 Windows安全协议成空气


  7月6日消息,在今年6月份联想发布了一份安全公告,公告中指出该公司在超过110个型号的笔记本电脑和台式机中预装的Lenovo Accelerator Application存在安全漏洞,主要表现是联想PC会偷偷下载自家升级软件(被卸载后又会自动安装),当中甚至还存在安全漏洞。

  日前,安全专家Dymtro "Cr4sh" Oleksiuk声称自己又发现了一个联想PC中存在的漏洞,可让攻击者绕过Windows的基本安全协议。

  问题出在系统维护模式(SMM)的源代码中,这一般是主板驱动程序的一部分。研究人员表示,黑客可能利用此漏洞禁用主板FLASH的写保护功能,进而改写某些驱动程序。

  还可禁用安全启动选项,甚至是Windows 10内置的安全设置如Device Guard和Credential Guard。该攻击代码名为ThinkPwn,被植入在电脑初始化代码里,在启动时被访问。从理论上讲,该代码可以被修改,并运行在操作系统级别上,一些意软件开发者可在运行中嵌入的恶意代码。

  Oleksiuk提到联想的这些驱动程序代码是从英特尔直接复制粘贴的,他担心 惠普等厂商也有相同的安全漏洞。

  联想表示,他们的工程师没有开发此类易受攻击的SMM代码,而是由与英特尔合作的第三方公司提供,然后在英特尔的IBV之 上添加UEFI代码。其中IBV支持独立BIOS供应商,现成的代码包集成在BIOS和UEFI上,以确保与其他设备组件间的兼容性。

  这个漏洞早在2014年就被Intel工程师修复,但不知为何又出现在UEFI之中。联想官方称目前正在调查该问题,并将与合作伙伴共同努力,尽快修复。


  来源:新浪数码
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|关于我们|联系我们|用户须知|小黑屋|法律申明|隐私通告|华发网海外版china168.info

GMT-6, 2024-12-19 01:44

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表