联想
继去年的Superfish后,一名独立安全研究人员发现,联想ThinkPad笔电系列的韧体再出现未修补的漏洞,可使骇客取得管理权限而执行任意程式码。此外,传出其他品牌电脑也在受害之列。?自称为Dmytro Oleksiuk的网友指出,名为ThinkPwn的零时权限升级漏洞存在联想笔电韧体的SystemSmmRuntimeRt UEFI 驱动程式中。它可让骇客经由在联想产品的System Management Mode (SMM)中执行任意程式码,关闭快闪记忆体的写入防护而感染平台韧体、关闭Secure Boot、绕过Windows 10 Enterpirse的Virtual Secure Mode而遂行恶意目的行为。?根据这名研究人员,联想ThinkPad全系列笔电都受到影响,从X220到T450。?这名研究人员并发现该漏洞程式码也出现在Intel 8系列晶片组的参考程式中,目前这些程式码虽未公开,但也存在Intel主机板的开源韧体中。?联想也在安全公告中证实了这项漏洞,并将之列为高风险漏洞。联想解释,SMM的漏洞程式码是来自外部独立BIOS厂商(IBV),他们是在Intel或AMD等晶片厂商的程式码加上数层针对特定电脑撰写的程式码,再提供给包括联想等系统业者。联想并表示,正在和三家IBV及Intel合作排除这项漏洞问题,因为该研究人员在联想準备好修补程式前即已公布漏洞资讯。?由于问题出在韧体,因此受害範围可能更广。除了联想ThinkPad外,另一名为Alex James的研究人员指出,在HP Pavillion dv7-4087cl笔电中的Insyde EFI韧体、技嘉电脑Z77X-UD5H及其他多款产品,都出现该漏洞。不过HP及技嘉都未对此回应。?去年联想多款电脑爆出预载Superfish恶意广告程式,除了擅自呈现扰人广告外,还会冒充合法网站的SSL凭证而让用户曝露于中间人攻击的风险,引起争议后迫使联想致歉并提供移除工具。
?
I 相关 / Other
(健康医疗网/记者张玉樱报道)健康的生活越来越受重视,台湾刚于6月盛大举办国际医疗展、7/21~7/24举办台湾生技展、8/26~8/29台北健康产业博览会也要盛大登场,香港引领这股健康风潮,第八届退休人士及长者博览(RSF
美国流行歌手“翘臀珍”珍妮佛罗培兹和百老汇当红音乐剧“汉密尔顿”创作家兼主角米兰达一同录公益歌曲,收益将捐给奥兰多夜店枪击案受害者基金会。法新社和英国“每日邮报”网站报道,珍妮佛罗培兹和米兰达今天都在
长沙街头多名男子斗殴 受害人后脑遭击打血流不止 7月3日,网上曝出一段围殴视频,视频中多名男子轮番对两名受害人进行殴打,并且还将路边的一块石头搬起,砸向受害人的头部,造成其脑后受伤严重,现场血流不止。 视
杜兰特去勇士遭各方热议 粉丝调侃不用担心被格林攻击了 [好玩]
新浪娱乐讯 2016年7月5日 杜兰特是在《球员论坛》上宣布了这个重要的决定。据著名记者马克-斯坦因报道,消息人士透露,杜兰特预计将与勇士签订一份两年期价值5430万美元的合约,合同第二年为球员选项。 自此西部格局
台湾男星被控性侵 再有4女出面爆料受害过程 滨小步在脸书上传出多张私讯截图,有人称差点被秦伟相同的手法骗到,也有人受害后,因顾及家庭而不敢出...据台湾媒体报道,秦伟昨(29日)被造型师滨小步爆料性侵,称他用“连哄带