最近一年，Slipstream等安全研究機(jī)構(gòu)接連曝出了PC制造商們的多起“重大錯(cuò)誤”。大家在聯(lián)想、戴爾和東芝等廠家出售的PC上檢查出了許多的‘捆綁軟件’、甚至安全漏洞，然而這對(duì)于它們來(lái)說(shuō)并非新鮮事，比如聯(lián)想和戴爾依然在近幾個(gè)月我行我素。情況的嚴(yán)重程度無(wú)須贅述，比如聯(lián)想方面的漏洞就可被利用來(lái)遠(yuǎn)程觸發(fā)和執(zhí)行系統(tǒng)級(jí)的許可。

　　CERT和Slipstream對(duì)這些bug進(jìn)行了一番匯總：

聯(lián)想：

1）Lenovo Solution Center創(chuàng)建了一個(gè)名叫LSCTaskService的進(jìn)程，其以完整的管理員權(quán)限運(yùn)行，并且啟用了55555端口上的一個(gè)web服務(wù)器。通過(guò)GET和POST HTTP請(qǐng)求，即可在本地用戶可訪問(wèn)的目錄中執(zhí)行代碼；

2）Lenovo Solution Center以完整權(quán)限運(yùn)行時(shí)，磁盤上任意位置會(huì)允許寫(xiě)入，位于這些位置的某些不良軟件會(huì)被以管理員權(quán)限執(zhí)行；

3）LSCTaskService進(jìn)程存在一個(gè)經(jīng)典跨站請(qǐng)求偽造（CSRF）漏洞，使得任意訪問(wèn)網(wǎng)頁(yè)通過(guò)將命令傳遞到本地web服務(wù)器，并以完整權(quán)限運(yùn)行。

戴爾：

其捆綁的Dell System Detect工具軟件，可獲取管理員權(quán)限和執(zhí)行任意命令。其可通過(guò)dell.com下載一個(gè)安全口令，但也易被濫用、以管理員權(quán)限執(zhí)行各種程序（包括惡意軟件）。

東芝：

捆綁的Service Station工具可被正常用戶和未經(jīng)授權(quán)的軟件利用，以系統(tǒng)級(jí)權(quán)限讀取操作系統(tǒng)中的大部分注冊(cè)表。

當(dāng)前，US CERT和聯(lián)想給出的建議都是卸載Lenovo System Center，至于其它廠商，我們目前為止還未聽(tīng)到任何官方建議。

解決方案：

CERT/CC暫不知針對(duì)該問(wèn)題的確切方案，不過(guò)大家可以參考如下方法：

卸載或關(guān)閉Lenovo Solution Center，以防止這些漏洞被利用；同時(shí)關(guān)閉任何運(yùn)行中的Lenovo Solution Center實(shí)例。