在危险的Superfish预装事件过去3月之后,作为全球最大PC制造商的联想再一次因为安全措施松懈而遭到了抨击。根据IO Actice的报道,他们在联想的系统更新程序(Lenovo System Update)中发现了一个重大的漏洞,而攻击者能够借此绕过验证检查、用恶意软件替换合法的官方程序、并且运行远程指令。IO Active警告称,5.6.0.27及之前版本的程序,都会面临“典型的咖啡馆攻击”。
其实早在今年2月份的时候,安全专家就已经发现了上述漏洞,并且向联想方面作出了通报。随后,联想在上月的更新中修复了相关bug。
尴尬的是,联想计算机用户必须亲自下载新版程序安装,才能避免自己的计算机面临重大的安全隐患(攻击者可通过伪造证书授权来运行恶意程序)。