品牌计算机预安装的管理软件再传有安全问题。安全研究人员发现,过去8年来内置于HP Windows计算机的技术支持软件,一连出现权限升级、删除文件及远程攻击漏洞,虽然HP已经发布最新版软件,但还有部分漏洞仍未修补完成。
专门在Dell及Lenovo等主要品牌计算机研究肿胀软件(bloatware)的安全研究人员Bill Demirkapi,近日公布在HP技术支持助理(HP Support Assistant)上的研究发现。这套软件内置于2012年以来的HP计算机,操作系统涵盖Windows 7、8及10。
Demirkapi在HP技术支持助理上,一共发现5个本机权限升级(local privilege escalation)、2个任意文件删除(arbitrary file deletion),以及3个远程程序代码执行(RCE)漏洞。研究人员去年10月及今年1月两度通报HP后,HP分别于去年12月及今年3月,修补了2个任意文件删除(arbitrary file deletion)及3个远程程序代码执行(RCE)漏洞,不过还有三个本机权限升级漏洞没有修补,其中一个即便HP修补了,但研究人员认为并不完全。
HP已经针对PC及打印机产品,发布最新版技术支持助理9.6.587.0及8.8.24.33版,但该程序并不会自动更新,除非用户之前提供明显同意(opt -in)。
不过,有鉴于仍然有漏洞,研究人员及杀毒公司ESET建议,最好的方法或许是将之移除。
品牌计算机预安装的软件,已经被安全专家视为肿胀软件(bloatware),反而增加安全风险。Dell计算机的SupportAssist今年初、去年5月,以及去年6月,已3度被发现有安全漏洞。联想Lenovo Solution Centre也在去年被爆,有可使黑客取得管理员权限执行程序,甚至接管设备的漏洞。