昨日，聯(lián)想發(fā)布固件升級，修復(fù)了旗下某些設(shè)備的BIOS問題，原本該漏洞可讓黑客獲得對桌面計算機或筆記本的控制權(quán)。在聯(lián)想的新聞稿中，聯(lián)想特別催促消費用戶進行BIOS的手動升級，此后的更多聯(lián)想機型默認出廠時即修復(fù)此漏洞。

[[146362]]

這項漏洞源于包含了聯(lián)想稱之為Lenovo Service Engine(LSE，聯(lián)想服務(wù)引擎)特性的BIOS固件，實際上也就是采用了微軟的一項Windows機制，此特性存在于不少面向消費用戶的PC產(chǎn)品上，此問題最早是由獨立安全研究人員Roel Schouwenberg指出的。

在和Schouwenberg的合作下，聯(lián)想與微軟的確發(fā)現(xiàn)，此程序可被黑客利用，包含了“緩沖區(qū)溢出攻擊以及針對聯(lián)想測試服務(wù)器的攻擊連接”。針對這一發(fā)現(xiàn)，微軟近期已發(fā)布更新版安全指導(dǎo)(點擊這里查看，位于第10頁)。

“聯(lián)想對LSE的采用并不符合現(xiàn)有新指導(dǎo)原則，因此LSE不會再安裝至聯(lián)想系統(tǒng)之上。強烈推薦消費用戶采用新BIOS固件升級系統(tǒng)，該固件可禁用或移除此特性。”

此外，聯(lián)想也專門發(fā)布了幫助用戶進行升級的介紹，想了解自己所用的聯(lián)想設(shè)備是否受到影響，可點擊這里查看。