Nesen Lenovo ierīces atkal var viegli nolaupīt, savukārt Dell un Toshiba datorus ir skārušas arī nopietnas ievainojamības. Drošības pētnieksslipstream / RoL publicēja ievainojamību tiešsaistē un demonstrēja, kā uzlauzt tirgū esošās mašīnas.
Trīs OEM, trīs iepriekš instalētas lietotnes, trīs ievainojamības
CERT Amerikas Savienotajās Valstīs ir izdevis brīdinājumu par Lenovo ievainojamību, un Ķīnas galvenā mītne arī pastiprina centienus atinstalēt risinājumu centru.
ASV Interneta ārkārtas reaģēšanas centrs (CERT) norāda:
Ja jūsu Lenovo risinājumu centrs vienmēr ir atvērts, hakeri var izmantot ievainojamību attālināti, izmantojot CSRF. Detalizēta informācija par ievainojamību asociācija 1. Lenovo risinājumu centrs izveido failu ar nosaukumuLSCTaskService process var darboties ar administratora tiesībām un izstumt tīmekļa serveri portā 55555。 Tas var arī izpildīt kodu vietējā lietotāja direktorijā, izmantojot GET un POST HTTP pieprasījumus. 2. Lenovo risinājumu centrs parasti izpilda programmas jebkurā cietā diska vietā ar pilnas kontroles atļaujām. Ievietojiet tajā ļaunprātīgu programmatūru, un Lenovo risinājumu centrs to izpildīs. 3. LSCTaskServic procesā pastāv tipiska starpvietņu pieprasījumu viltošanas (CSRF) ievainojamība, kas ļauj jebkurai apmeklētajai tīmekļa lapai nodot komandas lokālajam tīmekļa serverim un izpildīt tās. Deils
Līdzīgi, Dell komplektā iekļautais rīks Dell System Detection var tieši iegūt administratora tiesības, lai instalētu ļaunprātīgu programmatūru, lai sabojātu datoru. Toshiba
Toshiba degvielas uzpildes stacijas rīks ļauj parastajiem lietotājiem vai nesankcionētai programmatūrai tieši izmantot sistēmas līmeņa lietotāja tiesības nolasīt operētājsistēmas reģistru.
Sākotnējā:http://www.freebuf.com/news/88650.html
| 
Publicēts 11.12.2015 14:26:50
|
|
|
Publicēts 11.12.2015 17:09:36
|
