在PC上预加载的OEM软件更新工具是一种安全凌乱

发布时间：2021-11-09 03:11:29 所属栏目：通讯来源：互联网

导读：严重漏洞悄悄进入了PC制造商在Windows计算机上预加载的软件工具中，但问题的全部范围比以前的思想要差。安全公司Duo Security的研究人员已经测试了从五个PC OEM（原始设备制造商） - 宏碁，asustek计算机，联想，戴尔和惠普的笔记本电脑上安装的软件更新器脆

严重漏洞悄悄进入了PC制造商在Windows计算机上预加载的软件工具中，但问题的全部范围比以前的思想要差。

安全公司Duo Security的研究人员已经测试了从五个PC OEM（原始设备制造商） - 宏碁，asustek计算机，联想，戴尔和惠普的笔记本电脑上安装的软件更新器脆弱性。缺陷可能使攻击者远程执行与系统权限的代码，导致完整的系统妥协。

在大多数情况下，在检查或下载更新时，OEM软件更新器不会使用加密的HTTPS连接产生的问题。此外，一些更新者没有验证下载的文件在执行之前由OEM数字签名。

更新工具和OEM的S服务器之间的通信信道缺乏加密允许攻击者拦截请求并提供由工具执行的恶意软件。这被称为一个中间人攻击，可以从不安全的无线网络，从受损路由器推出，或者通过流氓ISP或情报机构从互联网基础设施中的更高版本推出。

在某些情况下，即使OEM实施HTTPS和数字签名验证，也有其他监督和缺陷，可以允许攻击者绕过安全措施，Duo安全研究人员发现。

“在我们的研究中，我们经常被系统服务，Web服务，COM服务器，浏览器扩展，套接字和命名管道的复杂混乱欢迎，”研究人员在其报告中表示。“许多令人困惑的设计决策使我们想知道项目是否完全从恶劣的ScketOverflow Post组装。”

这五家公司没有立即回复关于关于二人组织安全报告的评估要求。

更新工具的安全性和行为在同一系统上甚至不一致，更不用说同一制造商。研究人员发现，在某些情况下，OEM具有不同的工具，从不同来源下载了不同来源的更新，具有显着不同的安全性。

例如，联想解决方案中心（LSC）是研究人员测试的最佳软件更新器之一，具有坚实的中非保护。这可能是因为过去几次在LSC中发现了其他缺陷，借鉴了公司的关注。

另一方面，测试的联想系统还有一个被称为UpdateAgent的第二个更新工具，它绝对没有安全功能，并且是分析的最糟糕的更新器Duo安全性之一。

戴尔预加载的工具，即戴尔更新软件和戴尔基金会服务（DFS）的更新插件，是一些最精心设计的更新者，但才能仅当自签名的Edellroot引起的关键问题时由Duo Security在11月份发现的证书，被排除在外。

从那时起，戴尔似乎已经掌握了它的软件更新实现。Duo研究人员发现了在其系统上预先安装的DFS版本中的其他几个问题，但戴尔在1月份的更新中默默地修补它们，然后才有机会报告它们。

（编辑：91站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!