Pastaruoju metu "Lenovo" įrenginius vėl galima lengvai užgrobti, o "Dell" ir "Toshiba" kompiuteriai taip pat buvo paveikti rimtų pažeidžiamumų. Saugumo tyrėjasslipstream/RoL paskelbė pažeidžiamumą internete ir pademonstravo, kaip įsilaužti į rinkoje esančias mašinas.
Trys OĮG, trys iš anksto įdiegtos programos, trys pažeidžiamumai
CERT Jungtinėse Amerikos Valstijose paskelbė įspėjimą dėl "Lenovo" pažeidžiamumo, o Kinijos būstinė taip pat didina pastangas pašalinti sprendimų centrą.
JAV interneto reagavimo į ekstremalias situacijas centras (CERT) teigia:
Jei jūsų "Lenovo" sprendimų centras visada atidarytas, įsilaužėliai gali išnaudoti pažeidžiamumą nuotoliniu būdu per CSRF. Išsami informacija apie pažeidžiamumą asociacija 1. "Lenovo" sprendimų centras sukuria failą, pavadintąLSCTaskService procesas gali veikti su administratoriaus teisėmis ir išstumti žiniatinklio serverį prievade 55555。 Jis taip pat gali vykdyti kodą vietiniame vartotojo kataloge per GET ir POST HTTP užklausas. 2. "Lenovo" sprendimų centras paprastai vykdo programas bet kurioje standžiojo disko vietoje su visais valdymo leidimais. Įdėkite į jį kenkėjiškų programų ir "Lenovo" sprendimų centras ją vykdys. 3. LSCTaskServic procese egzistuoja tipiškas kelių svetainių užklausų klastojimo (CSRF) pažeidžiamumas, leidžiantis bet kuriam aplankytam tinklalapiui perduoti komandas vietiniam žiniatinklio serveriui ir jas vykdyti. Deilas
Panašiai "Dell" komplekte esantis įrankis "Dell System Detection" gali tiesiogiai įgyti administratoriaus teises įdiegti kenkėjiškas programas, kad sugadintų jūsų kompiuterį. Toshiba
"Toshiba" degalinės įrankis leidžia paprastiems vartotojams ar neįgaliotai programinei įrangai tiesiogiai turėti sistemos lygio vartotojo teisę skaityti operacinės sistemos registrą.
Originalus:http://www.freebuf.com/news/88650.html
| 
Paskelbta 2015-12-11 14:26:50
|
|
|
Paskelbta 2015-12-11 17:09:36
|
