昨日,联想发布了固件升级,针对旗下部分设备存在的BIOS漏洞进行了修复。这个漏洞曾经让有可能控制桌面计算机或笔记本电脑。联想在新闻稿中特别呼吁消费者用户尽快进行BIOS手动升级,并且未来出厂的联想设备将默认修复此漏洞。
这个漏洞源于BIOS固件中的一项特性,联想称之为Lenovo Service Engine(LSE,联想服务引擎),实际上是采用了微软的一项Windows机制。这一特性存在于许多面向消费者的PC产品中。这个问题最早是由独立的安全专家Roel Schouwenberg所发现的。
在与Schouwenberg的合作下,联想和微软共同研究发现了这个程序的潜在风险,包括可能被利用的“缓冲区溢出攻击”以及针对联想测试服务器的攻击连接。针对这一问题,微软最近发布了更新版的安全指南(可点击此处查看,位于第10页)。
由于联想对LSE的使用不符合最新的指导原则,因此LSE将不再安装在联想系统上。我们强烈推荐消费者用户尽快采用新的BIOS固件升级系统,这个固件可以禁用或移除LSE特性。为了帮助用户进行升级,联想还提供了详细的介绍和指导。如果您想知道自己的联想设备是否受到影响,请点击此处查看相关信息。
