據(jù)英國廣播公司(BBC)5月6日報道，研究人員發(fā)現(xiàn)，聯(lián)想在系統(tǒng)更新軟件上存在重大漏洞，黑客可以繞開驗證檢查，將聯(lián)想安裝的程序替換成惡意軟件，其后便可以執(zhí)行任意指令。

　　安全公司IOActive 的研究人員發(fā)現(xiàn)這一漏洞，并與今年2月份就給聯(lián)想公司以提醒。聯(lián)想承認這樣情況屬實，并敦促用戶下載一個補丁來解決此問題。

　　此事或與聯(lián)想在系統(tǒng)預裝廣告軟件有關。

　　今年4月份聯(lián)想發(fā)布了漏洞補丁，但研究結果卻與本周才公開。

　　研究人員發(fā)現(xiàn)，其中一個漏洞允許本地和遠程攻擊者“繞開驗證檢查，將聯(lián)想安裝的程序替換成惡意軟件”。這一情況可能使聯(lián)想用戶面臨所謂的“咖啡館襲擊”，攻擊者可能在公共網絡中趁虛而入。

　　研究人員寫到，“襲擊者可以創(chuàng)建一份偽造的憑證對可執(zhí)行文件簽名，讓惡意軟件偽裝成聯(lián)想自己的官方軟件?！绷硗鈨蓚€漏洞允許攻擊者更大程度控制用戶系統(tǒng)。

　　薩利大學安全專家，艾倫?伍德沃德教授說，“這可能導致系統(tǒng)運行惡意命令。聯(lián)想似乎在安全方面還存在問題，用戶或面臨被遠程竊聽的風險?！蔽榈挛值陆淌诒硎荆?2月份聯(lián)想就被曝產品預裝有潛在危險性的軟件，此次安全事件再次曝出，令人非常失望。他補充道，“這是聯(lián)想構建‘安全網絡’中一個可悲的記錄?！?

　　聯(lián)想公司被迫刪除已經預裝在其它機子中的廣告軟件“Superfish”，該軟件給用戶安全構成了潛在的威脅。

　　聯(lián)想提供給客戶一個工具來刪除軟件，但在系統(tǒng)交互中卻被認為是惡意軟件。

　　聯(lián)想的一位發(fā)言人表示， 其開發(fā)和安全團隊曾與IOActive公司合作調查其系統(tǒng)更新功能中的漏洞。

　　研究人員在公布研究結果之前給了聯(lián)想足夠時間解決問題。

　　電腦制造商補充道，“用戶會被提示安裝更新系統(tǒng)，或者根據(jù)用戶手冊手動更新。聯(lián)想建議所用用戶更新系統(tǒng)，消除漏洞?！?