标题:戴尔、联想和东芝官方软件让PC更容易受攻击
作者:AnkhMorpork
日期:2015-12-10 20:44:43
内容:
OEM厂商在PC上预装的软件让攻击变得更容易。戴尔、联想和东芝公司的官方支持软件都被发现存在未修复的安全漏洞。一位安全研究人员公开了漏洞,并发布了POC代码OEMDrop。 联想公司的Lenovo Solution Center工具包含了最令人担心的漏洞:名叫 LSCTaskService的服务监听来自55555端口的HTTP请求,LSCTaskService的关联文件LSCController.dll 包含了允许通过 HTTP GET和POST请求调用的方法,能在未保护的目录%APPDATA%\LSC\Local Store使用系统权限执行任意代码。更糟糕的是,Lenovo Solution Center包含了路径遍历bug,允许访问用户配置文件所在的同驱动器下的任意文件。LSCTaskService还容易受到跨站请求伪造攻击。对这些 问题,联想推荐客户移除Lenovo Solution Center。
来自http://www.solidot.org/story?sid=46471