联想惠普陷安全漏洞危机 黑客可绕过Windows安全机制

随着科技飞速发展，我们的生活产生了天翻地覆的变化，一台电脑、一部手机甚至是一颗小小的芯片都足以涵盖我们所需的任何东西，同时，我们的隐私与安全也被全权交与这些冰冷的机器。不会说话的机器比会说话的人保密性更高，但这并不意味着没有威胁。 近日，外媒报道称，独立安全研究员DymtroOleksiuk在联想笔记本中发现了一个未被修复的UEFI零日漏洞，黑客可以绕过Windows的基本安全协议对联想电脑进行攻击。 随后，在其他一些OEM产品中， Oleksiuk也发现了同样的漏洞，主要包括惠普笔电和技嘉主板等部分。这种漏洞存在于多款UEFI固件包里的系统管理模块(SMM)源代码中，能够绕开Windows 10内建的设备保护等安全保护机制。 Oleksiuk表示，他发现的这一安全漏洞影响到了过去几年联想集团数量众多的ThinkPad笔记本电脑。实际上，早在2011年发布的ThinkPad X220上，Oleksiuk就发现了这一漏洞。 另外，Oleksiuk在之前的Twitter消息中指出，联想集团此前仅仅是要求他不要发布关于这一安全漏洞的信息，而且他在GitHub的贴子中已经指明，联想集团“复制-粘贴”了英特尔为8-系列芯片组开发的参考代码。他还调侃称，该代码可能是故意作为一个后门使用。如果事实真如Oleksiuk所言，那也就意味着，联想的漏洞或许是编写程序员蓄意为之。 联想方面给出的回应是，Oleksiuk的言论存在巨大问题。联想表示，该漏洞并非源于自家代码，顺便把责任推给了“公司的一家独立BIOS厂商之一”以及英特尔，原因是该公司把开发定制版的BIOS股价业务外包给了软件厂商。 现在联想方面表示正在调查该问题，并将与合作伙伴共同努力，尽快制定修复，不过截至目前依然没有针对该漏洞的补丁放出。 作为全球电脑市场的领导企业，联想旗下产品的覆盖面十分广阔，而一旦出现漏洞，波及到的用户及影响面无疑也会相当大。在如今笔记本电脑与生活息息相关的情况下，联想更应该直面问题，实现对用户隐私与安全的绝密保护。