联想电脑再曝重大漏洞 官方发布安全更新程序

　　据英国广播公司(BBC)5月6日报道，研究人员发现，联想在系统更新软件上存在重大漏洞，黑客可以绕开验证检查，将联想安装的程序替换成恶意软件，其后便可以执行任意指令。

　　安全公司IOActive 的研究人员发现这一漏洞，并与今年2月份就给联想公司以提醒。联想承认这样情况属实，并敦促用户下载一个补丁来解决此问题。

　　此事或与联想在系统预装广告软件有关。

　　今年4月份联想发布了漏洞补丁，但研究结果却与本周才公开。

　　研究人员发现，其中一个漏洞允许本地和远程攻击者“绕开验证检查，将联想安装的程序替换成恶意软件”。这一情况可能使联想用户面临所谓的“咖啡馆袭击”，攻击者可能在公共网络中趁虚而入。

　　研究人员写到，“袭击者可以创建一份伪造的凭证对可执行文件签名，让恶意软件伪装成联想自己的官方软件。”另外两个漏洞允许攻击者更大程度控制用户系统。

　　萨利大学安全专家，艾伦?伍德沃德教授说，“这可能导致系统运行恶意命令。联想似乎在安全方面还存在问题，用户或面临被远程窃听的风险。”伍德沃德教授表示， 2月份联想就被曝产品预装有潜在危险性的软件，此次安全事件再次曝出，令人非常失望。他补充道，“这是联想构建‘安全网络’中一个可悲的记录。”

　　联想公司被迫删除已经预装在其它机子中的广告软件“Superfish”，该软件给用户安全构成了潜在的威胁。

　　联想提供给客户一个工具来删除软件，但在系统交互中却被认为是恶意软件。

　　联想的一位发言人表示， 其开发和安全团队曾与IOActive公司合作调查其系统更新功能中的漏洞。

　　研究人员在公布研究结果之前给了联想足够时间解决问题。

　　电脑制造商补充道，“用户会被提示安装更新系统，或者根据用户手册手动更新。联想建议所用用户更新系统，消除漏洞。”(实习编译：唐晔 审稿：陈薇)