昨日，聯(lián)想發(fā)布固件升級(jí)，修復(fù)了旗下某些設(shè)備的BIOS問(wèn)題，原本該漏洞可讓黑客獲得對(duì)桌面計(jì)算機(jī)或筆記本的控制權(quán)。在聯(lián)想的新聞稿中，聯(lián)想特別催促消費(fèi)用戶進(jìn)行BIOS的手動(dòng)升級(jí)，此后的更多聯(lián)想機(jī)型默認(rèn)出廠時(shí)即修復(fù)此漏洞。

[[146362]]

這項(xiàng)漏洞源于包含了聯(lián)想稱之為L(zhǎng)enovo Service Engine(LSE，聯(lián)想服務(wù)引擎)特性的BIOS固件，實(shí)際上也就是采用了微軟的一項(xiàng)Windows機(jī)制，此特性存在于不少面向消費(fèi)用戶的PC產(chǎn)品上，此問(wèn)題最早是由獨(dú)立安全研究人員Roel Schouwenberg指出的。

在和Schouwenberg的合作下，聯(lián)想與微軟的確發(fā)現(xiàn)，此程序可被黑客利用，包含了“緩沖區(qū)溢出攻擊以及針對(duì)聯(lián)想測(cè)試服務(wù)器的攻擊連接”。針對(duì)這一發(fā)現(xiàn)，微軟近期已發(fā)布更新版安全指導(dǎo)(點(diǎn)擊這里查看，位于第10頁(yè))。

“聯(lián)想對(duì)LSE的采用并不符合現(xiàn)有新指導(dǎo)原則，因此LSE不會(huì)再安裝至聯(lián)想系統(tǒng)之上。強(qiáng)烈推薦消費(fèi)用戶采用新BIOS固件升級(jí)系統(tǒng)，該固件可禁用或移除此特性。”

此外，聯(lián)想也專門(mén)發(fā)布了幫助用戶進(jìn)行升級(jí)的介紹，想了解自己所用的聯(lián)想設(shè)備是否受到影響，可點(diǎn)擊這里查看。