安全公司IOActive发现了联想系统更新服务的主要漏洞。

该服务可以从联想官方网站访问，用户可以下载最新的驱动程序和其他必要的软件，比如安全补丁。

然而，它也允许黑客执行恶意攻击，例如用恶意软件替换有效的联想程序，绕过验证检查，甚至在远距离运行命令。

该公司于今年2月首次发现了这些漏洞。联想在一个月前发布了一个补丁，并获得了开发补丁的时间。虽然已经发布了补丁来消除这个漏洞，但联想设备的用户仍然需要下载安全更新来保护自己。

其中一个被发现的漏洞，被标记为CVE-2015-2233，据说允许黑客绕过机器上的签名验证检查，并使用恶意软件替换有效的联想程序。

“本地和潜在的远程攻击者可以绕过签名验证检查，用恶意应用程序替换受信任的联想应用程序。然后这些应用程序将作为特权用户运行，”IOActive研究人员Sofiane Talmat和Michael Milvich说描述的弱点。

“系统更新从互联网下载可执行文件并运行它们。可以执行中间人攻击(经典的咖啡店攻击)的远程攻击者可以利用这一点将联想的可执行文件与恶意可执行文件交换。系统更新使用TLS/SSL来保护其与更新服务器的通信，这应该可以防止'咖啡店'式的攻击。

“咖啡店攻击”用于描述联想设备所有者在咖啡店更新设备时发生的攻击类型。这为攻击者利用安全漏洞将自己的程序与联想用户拥有的程序交换铺平了道路。此安全漏洞与IOActive发现的其他漏洞一起存在于联想系统更新版本5.6.0.27及更早的版本中。

“可以执行中间人攻击(经典的咖啡店攻击)的远程攻击者可以利用这一点将联想的可执行文件与恶意可执行文件交换。”说研究人员。

IOActive的高级安全顾问塔尔马特证实，联想已经针对这个安全漏洞发布了补丁。然而，用户需要下载最新的更新软件版本来保证他们的系统安全。

塔尔马特说:“对联想来说，仅仅让它上市是不够的。”“运营该品牌产品的企业需要确保他们的用户通过任何可能的方式打了补丁。”

图片:Kārlis Dambrāns |Flickr