戴尔、联想和东芝官方软件让PC更容易受攻击

OEM厂商在PC上预装的软件让攻击变得更容易。戴尔、联想和东芝公司的官方支持软件都被发现存在未修复的安全漏洞。一位安全研究人员公开了漏洞，并发布了POC代码OEMDrop。联想公司的Lenovo Solution Center工具包含了最令人担心的漏洞：名叫 LSCTaskService的服务监听来自55555端口的HTTP请求，LSCTaskService的关联文件LSCController.dll包含了允许通过 HTTP GET和POST请求调用的方法，能在未保护的目录%APPDATA%\LSC\Local Store使用系统权限执行任意代码。更糟糕的是，Lenovo Solution Center包含了路径遍历bug，允许访问用户配置文件所在的同驱动器下的任意文件。LSCTaskService还容易受到跨站请求伪造攻击。对这些问题，联想推荐客户移除Lenovo Solution Center。