联想、戴尔和东芝电脑曝严重OEM漏洞-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

联想、戴尔和东芝电脑曝严重OEM漏洞

简介:
+关注继续查看

最近,联想的设备又可以被很容易地劫持,同时戴尔和东芝的个人电脑也因为严重漏洞而受到影响。安全研究员slipstream/RoL在线发布了漏洞并演示了如何侵入市场上的机器。

联想、戴尔和东芝电脑曝严重OEM漏洞

三个OEM,三个预装应用程序,三个漏洞

美国的CERT已经发布了联想漏洞的警报,中国总部也正在加紧脚步卸载解决方案中心。

美国互联网应急中心(CERT)表示:

“当一位用户打开联想解决方案中心查看网络文件后,攻击者可以通过系统权限执行任意代码。而且,本地用户也可以这样做到。”

联想解决方案中心也在公司网站上发布证实了该安全问题,他们正在以最快的速度修复这个漏洞:

“我们正在评估这个漏洞,并会尽快提供更新和适用的补丁给大家。更多信息和更新将会公布在安全公告里。”

如果你的联想解决方案中心一直开着,那么黑客可以通过CSRF远程利用漏洞。

漏洞详情

联想

1.联想解决方案中心创建了一个名为LSCTaskService的进程能以管理员权限操作运行并弹出55555端口上的一个Web服务器。它也可以通过GET和POST HTTP请求执行本地用户目录中的代码。

2.联想解决方案中心一般以完全控制权限执行硬盘上任意位置的程序。把恶意软件放到里面,联想解决方案中心就会执行该恶意软件。

3.在LSCTaskServic进程中存在一个典型的跨站请求伪造(CSRF)漏洞,允许任何访问的网页将命令传递到本地Web服务器并执行。

戴尔

同样的,戴尔的捆绑工具Dell系统检测,可以直接获得管理员权限安装恶意软件破坏你的计算机。

东芝

而东芝的服务站工具则可以让普通的用户或未经授权的软件直接拥有系统级用户的权限读取操作系统的注册表。


作者:蓝雨泪 

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9376 0
dedecms最新注入漏洞
作者:张恒 # Gh0u1:我没测试,先保留一下,晚上再说。 dedecms5.3和5.
835 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10797 0
科普 | 你必须了解的漏洞利用缓解及对抗技术
本文简单介绍了android和ios中广泛使用的一些漏洞缓解及可能的绕过技术。也包含一些相关联的安全限制,而非真正意义的缓解技术。
4454 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13049 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载