在PC上预加载的OEM软件更新工具是一种安全混乱
来自伊隆麝香的这种心灵弯曲的报价将阻止你的曲目
新加坡大学受到高级持续威胁攻击的影响
FCC附近投票将超级5G网络带到美国。
澳大利亚银行搬到抵制苹果薪酬拒绝
Nordea罢工与瑞典移动支付启动合作
联邦调查局扩大监督权力符合障碍
这些超薄太阳能电池可以绕铅笔弯曲
法官为H-1B欺诈发送了7年的2次监狱
FTC声称,移动广告商跟踪用户的位置,未经他们的同意
CBRE:伦敦派对空间的需求在Brexit面对面持有公司
AWS云在谷歌和微软威胁下的宣誓,451研究
谷歌重新启动其A.I.引擎
Facebook Deeptex - 聪明的人工智能,但你是产品
你的下一个iPhone可以在里面有英特尔
可再生能源现在提供了世界上的四分之一
联邦调查局主任重申呼吁加密行动
面试:CodeCon - 通过即时反馈的技能开发平台
数百人更多的次级教师申请加入邮局的集团行动
思科表示,一半的企业将在2019年开始数字化网络,表示思科
Microsoft Buys Wand改善聊天功能
国家犯罪调查人物展示了种植的网络犯罪
议员说,英国政府必须改善网络防御努力
HPE服务和CSC成为DXC技术
在安全漏洞后,雅虎在与Verizon交易中削减了350亿美元
当您隔离工业控制系统时,不要忘记DNS
迪拜健康权威电子医疗记录今年推出
Starling Bank将API与Hackathon开放
GDS Convents在2015/16年度保存了339米,内阁办公室
智能手机屏幕尺寸链接到电子商务销售隆起
谷歌与新的欧洲研究小组重新启动其AI发动机
英国Fintech Investments在Brexit的恐惧中萎缩
Mingis关于Tech:Apple的WWDC主题演讲解剖了
ZF Group打开了海德拉巴科技中心的大门
摩托车通过TIBCO管理API提供的技术数据
刚才无法清除你的小隔间
成熟APAC市场的公共云服务于2017年达到10亿美元
施耐德电器补丁DCIM软件安全孔
专员说,GDPR在ico上造成额外的负担
案例分析:Tamer Group提升带宽和网络连接
Linux游戏与新硬件,vutkan图形有望提升
Web开发人员,遇到WebGazer:将网络摄像头转为眼跟踪器的软件
旧的代码困扰着Cloudflare与记忆泄漏恐慌
三星的Joyent购买是AWS和Microsoft Azure的刷卡
新加坡大学水龙头verizon的网络安全知识
亚马逊,苹果和微软承诺支持政府推动公平云存储使用
彻底网络升级基础法律大学
欧盟和美国官员签署'umbrella'数据保护协议
签证将打开伦敦技术中心
英格兰最大的NHS信任调查网络攻击
您的位置:首页 >科技 > 物联科技 >

在PC上预加载的OEM软件更新工具是一种安全混乱

2021-07-06 20:44:28 [来源]:

严重漏洞悄悄进入了PC制造商在Windows计算机上预加载的软件工具中,但问题的全部范围比以前的思想要差。

安全公司Duo Security的研究人员已经测试了从五个PC OEM(原始设备制造商) - 宏碁,asustek计算机,联想,戴尔和惠普的笔记本电脑上安装的软件更新器脆弱性。缺陷可能使攻击者远程执行与系统权限的代码,导致完整的系统妥协。

在大多数情况下,在检查或下载更新时,OEM软件更新器不会使用加密的HTTPS连接产生的问题。此外,一些更新者没有验证下载的文件在执行之前由OEM数字签名。

更新工具和OEM的S服务器之间的通信信道缺乏加密允许攻击者拦截请求并提供由工具执行的恶意软件。这被称为一个中间人攻击,可以从不安全的无线网络,从受损路由器推出,或者通过流氓ISP或情报机构从互联网基础设施中的更高版本推出。

在某些情况下,即使OEM实施HTTPS和数字签名验证,也有其他监督和缺陷,可以允许攻击者绕过安全措施,Duo安全研究人员发现。

“在我们的研究中,我们经常被系统服务,Web服务,COM服务器,浏览器扩展,套接字和命名管道的复杂混乱欢迎,”研究人员在其报告中表示。“许多令人困惑的设计决策使我们想知道项目是否完全从恶劣的ScketOverflow Post组装。”

这五家公司没有立即回复关于关于二人组织安全报告的评估要求。

更新工具的安全性和行为在同一系统上甚至不一致,更不用说同一制造商。研究人员发现,在某些情况下,OEM具有不同的工具,从不同来源下载了不同来源的更新,具有显着不同的安全性。

例如,联想解决方案中心(LSC)是研究人员测试的最佳软件更新器之一,具有坚实的中非保护。这可能是因为过去几次在LSC中发现了其他缺陷,借鉴了公司的关注。

另一方面,测试的联想系统还有一个被称为UpdateAgent的第二个更新工具,它绝对没有安全功能,并且是分析的最糟糕的更新器Duo安全性之一。

戴尔预加载的工具,即戴尔更新软件和戴尔基金会服务(DFS)的更新插件,是一些最精心设计的更新者,但才能仅当自签名的Edellroot引起的关键问题时由Duo Security在11月份发现的证书,被排除在外。

从那时起,戴尔似乎已经掌握了它的软件更新实现。Duo研究人员发现了在其系统上预先安装的DFS版本中的其他几个问题,但戴尔在1月份的更新中默默地修补它们,然后才有机会报告它们。

HP“S更新机构,HP支持解决方案框架(HPSSF)与其惠普下载和安装助手组件,也乍一看了在适当位置。然而,研究人员发现了几种方法可以绕过一些保护,主要是因为实现不一致。

HPSSF的问题源于其大量组件和它们彼此相互作用的不同方式。有时相同类型的保护,如签名验证以不同的方式在多个地方实施。

在HP的决定中也观察到复杂性的这种趋势在其PC上安装了异常大量的支持工具。

研究人员说,HP“暴露了由于机器上包括巨大的专有工具而导致的最大攻击表面。”“我们并不肯定他们所做的一切,我们有点厌倦了一段时间后逆转他们,所以我们停了下来。”

除了联想的更新情况下,更糟糕的是更糟糕的是,该公司计划在6月份退出和从系统中退出和删除,是来自宏碁和华硕的系统。它们不仅缺乏HTTPS或文件签名验证,而且根据DUO安全性,问题仍未被删除。

Duo研究人员的主要建议是擦除计算机上的预加载Windows版本,并安装Windows的清洁副本。在大多数情况下,他们应该能够使用其现有的许可证密钥,在Windows安装期间自动检测到较新的Windows版本中。

“利用大多数漏洞所需的复杂程度在Duo午餐室地板上的咖啡污渍和平均盆栽植物中所拥有的咖啡污染物之间的某个地方 - Duo研究人员在博客岗位上说道。

并且仅基于OEM更新工具的分析,而不是供应商在新计算机上常用的所有第三方软件。谁知道其他缺陷这些应用程序可能会有什么?

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。