طبق توضیحات محققان IOActive، هکرها میتوانند از طریق یکی از این آسیبپذیریها یک مرجع گواهی جعلی برای اجرای فایلهای Exe ایجاد کنند که به نرمافزارهای مخرب اجازه میدهد خود را به شکل نرمافزار رسمی Lenovo دربیاورند. اگر کاربران Lenovo دستگاه خود را در یک کافیشاپ بهروزرسانی کنند، فرد دیگری میتواند به راحتی از این حفره امنیتی برای مبادله برنامههای Lenovo با برنامههای مخرب استفاده کند. این فرآیند چیزی است که محققان آن را «حمله کلاسیک کافیشاپ» مینامند. این حفره امنیتی به همراه آسیبپذیرهای دیگری که توسط IOActive شناسایی شدهاند، هم اکنون در نسخه ۵٫۶٫۰٫۲۷ بهروزرسانی سیستم lenovo و نسخههای قبلتر از آن وجود دارند.
این آسیبپذیریها که اولین بار توسط متخصصان امنیتی در ماه فوریه کشف شدند، همان زمان به شرکت Lenovo اطلاع داده شد تا به این شرکت چینی اجازه دهد این مشکل را برطرف سازد. این شرکت ماه گذشته یک بسته الحاقی برای حذف باگهای سیستمی منتشر کرد؛ اما کاربران دستگاههای Lenovo باید خودشان به منظور جلوگیری از بروز مشکلی که شرکت IOActive آن را «خطر امنیتی بزرگ» مینامد، این بهروزرسانی امنیتی را دانلود کنند. شرکت Lenovo به سرعت به چنین مشکلاتی واکنش نشان میدهد، اما با توجه به تلاش این شرکت بزرگ کامپیوترسازی برای رشد هر چه بیشتر، این آسیبپذیری جدید، یک حفره امنیتی شرمآور دیگر در نرمافزار این شرکت محسوب میشود.
0 نظر
باید از کجا این بروز رسانی سیستم را انجام بدیم
میشه لینک مربوطه رو هم بزارید