联想 AI 聊天机器人曝关键漏洞:攻击者可运行恶意代码并窃取 Cookie
HackerNews 编译,转载请注明出处: 跨国科技公司联想(Lenovo)的AI聊天机器人Lena近日被发现存在严重安全漏洞,攻击者仅需单条指令即可诱导其泄露会话凭证甚至执行恶意脚本。此次事件暴露了AI助手在缺乏严格防护时的灾难性风险。 漏洞机制与危害 网络安全研究团队Cybernews发现,联想官网搭载的AI助手Lena(基于OpenAI GPT-4构建)存在跨站脚本(XSS)漏洞。攻击者通过400字符的恶意指令即可实现: 诱导机器人将回复格式转为HTML 在回复中嵌入伪造图片加载指令 触发浏览器向攻击者服务器发送包含会话cookie的请求 当用户要求转接人工客服时,该漏洞会产生连锁反应:客服人员查看对话历史将触发相同漏洞,导致其会话凭证被窃取。攻击者可借此劫持客服账号,访问客户对话记录及敏感数据。 潜在攻击场景 研究团队警告该漏洞可能引发多重风险: 系统渗透:劫持的客服账号可能成为内网跳板 恶意操作:诱导生成的代码可部署后门、执行系统命令 数据泄露:窃取客户支持系统中的用户信息 界面篡改:向客服终端注入虚假信息或钓鱼页面 安全专家Žilvinas Girėnas指出:“企业急于部署AI却疏于防护,这种差距正是攻击者的突破口。大语言模型不具备‘安全’本能概念,它们只会忠实执行指令。若无严格输入输出过滤,微小疏忽可能演变为重大安全事件。” 行业警示 Cybernews团队强调该漏洞反映的深层问题: 输入过滤缺失:未对用户指令进行危险字符过滤 输出无验证:直接信任AI生成的HTML/Javascript代码 内容加载失控:允许从任意外部源加载资源 联想在7月22日收到漏洞报告后,于8月6日确认问题并在8月18日前完成修复。2025财年数据显示,这家香港上市公司营收达568.6亿美元,净利润11亿美元,市值约180亿美元。 防护建议 研究团队提出关键防护措施: 实施输入净化机制:严格限制允许字符类型与输入长度 建立输出审查:剥离AI回复中的可执行代码 启用内容安全策略(CSP):限制浏览器可加载资源域 避免内联JavaScript:所有脚本应置于外部文件 执行最小权限原则:限制AI系统访问权限 “必须默认所有AI输出均可能包含恶意代码,采用‘永不信任,始终验证’策略”,研究团队总结道。此次事件再次证明:当企业竞相拥抱AI技术时,安全防护必须同步进化。 消息来源: cybernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
联想设备曝 6 个安全漏洞,允许部署持久性植入程序
HackerNews 编译,转载请注明出处: 固件安全与供应链风险管理公司 Binarly 周二报告称,联想设备受到多个漏洞影响,其中一些漏洞可能允许攻击者在目标系统上部署持久性植入程序。 Binarly 在联想一体台式机中发现了总共六个漏洞,具体存在于系统管理模式(SMM)中,这是一种用于低级系统管理的操作模式。 由于 SMM 在操作系统加载之前启动,并且在重新安装系统后仍然存在,因此对于试图绕过安全启动(旨在确保启动时仅加载可信软件的安全功能)并部署隐蔽恶意软件的威胁行为者来说,它可能是一个理想目标。 这些漏洞已被分配 CVE 标识符,从 CVE-2025-4421 到 CVE-2025-4426。其中四个被评为 “高严重性”,其余则被归类为 “中严重性”。 高严重性漏洞属于内存损坏问题,可能导致在 SMM 中发生权限提升和任意代码执行。中严重性漏洞可能导致信息泄露和安全机制被绕过。 能够接触到目标联想设备的威胁行为者可利用这些漏洞绕过 SPI 闪存保护措施和安全启动,部署能在操作系统重新安装后仍然存在的植入程序,甚至破坏虚拟机监控程序隔离。 Binarly 于 4 月向联想报告了这些漏洞,厂商在 6 月确认了相关发现。目前,联想已提供补丁和缓解措施。 联想和 Binarly 均将于周二发布描述这些漏洞的安全公告。 消息来源:securityweek; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
新 UEFI 固件漏洞影响多款联想笔记本电脑
Hackernews 编译,转载请注明出处: 消费电子产品制造商联想周二发布了修复措施,解决了其UEFI固件中的三个安全漏洞,这些漏洞影响了70多种产品型号。 Slovak网络安全公司ESET在一系列推文中表示:“这些漏洞可以在平台启动的早期阶段实现任意代码执行,可能会让攻击者劫持操作系统执行流程,并禁用一些重要的安全功能。” CVE-2022-1890、CVE-2022-1891和CVE-2022-1892这三个漏洞都与缓冲区溢出漏洞有关,联想已将其描述为导致受影响系统上的权限提升。ESET的Martin Smolár报告了这些缺陷。 这些错误源于对三个不同的驱动程序 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 中名为“DataSize”的 NVRAM 变量的验证不足,从而导致缓冲区溢出,可以将其武器化以实现代码执行。 这是联想自今年年初以来第二次着手解决UEFI安全漏洞。今年4月,该公司解决了三个漏洞(CVE-2021-3970、CVE-2021-3971和CVE-2021-3972)——也是由Smolár发现的——可能被用来部署和执行固件植入。 强烈建议受影响设备的用户将其固件更新到最新版本,以缓解潜在威胁。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文
研究人员发现三个联想电脑的 UEFI 漏洞 影响规模可达数百万台
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-2021-3971和CVE-2021-3972是为了在联想消费者笔记本的制造过程中使用。然而,在制作BIOS镜像时,它们被错误地留在其中,而没有首先停用。攻击者可以获得对这些设备的访问,他们将能够在操作系统运行期间从特权用户模式进程中禁用SPI闪存保护或UEFI安全启动功能。 联想昨天针对这些漏洞发布了安全补丁,如下所示: CVE-2021-3970-由于某些联想笔记本型号的验证工作不完善,LenovoVariable SMI Handler存在潜在漏洞,可能允许具有本地访问权限和高权限的攻击者执行任意代码。 CVE-2021-3971 – 一些消费型联想笔记本电脑设备上的旧制造工艺中使用的驱动程序存在潜在漏洞,该驱动程序被错误地包含在BIOS镜像中,可能允许具有高权限的攻击者通过修改NVRAM变量修改固件保护区域。 CVE-2021-3972 – 在一些消费类联想笔记本电脑设备的制造过程中使用的驱动程序存在潜在漏洞,该驱动程序被误认为没有被停用,可能允许具有高权限的攻击者通过修改NVRAM变量来修改安全启动设置。 利用这些安全补丁很重要,以避免在未来受到损害。这些威胁是在操作系统获得控制权之前,也就是PC启动过程的早期启动的。因此,攻击者将能够对抗任何基于操作系统内的安全措施。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260147.htm 封面来源于网络,如有侵权请联系删除
联想解决 Broadcom 芯片组关键缺陷,涉至少 25 款 ThinkPad 设备
外媒 2 月 10 日消息,根据联想发布的安全建议,Broadcom 芯片组中的两个关键漏洞至少影响了 25 款 ThinkPad 设备。远程攻击者可以利用这些漏洞在目标系统的适配器(而不是系统的 CPU)上执行任意代码。目前联想表示已在其产品中修复了这些漏洞,并敦促用户及时更新。 CVE-2017-11120:内存破坏漏洞 攻击者可利用该漏洞在目标设备上执行代码并建立后门程序。 联想警告称, 24 款 ThinkPad 机型存在该种缺陷,这些机型都有一个共同特点:它们都使用了 Broadcom 的 BCM4356 无线局域网驱动程序。 CVE-2017-11121:缓冲区溢出漏洞 该漏洞是由于对 Wi-Fi 信号进行不正确的验证而导致的。据研究专家介绍,精心制作的恶意无线快速转换帧可能会触发内部 Wi-Fi 固件堆栈和者堆栈溢出,从而导致出现拒绝服务等情况。目前联想已修复该漏洞,并敦促用户为其 ThinkPad 更新 Wi-Fi 驱动程序。 有关专家认为联想 ThinkPad 设备的这两个漏洞是非常关键的,因此将其评定为 CVSS 10 分。 受影响的型号有 ThinkPad 10、ThinkPad L460、ThinkPad P50s、ThinkPad T460、ThinkPad T460p、ThinkPad T460s、ThinkPad T560、ThinkPad X260 和 ThinkPad Yoga 260。 漏洞相关报告: CVE-2017-11120 细节 CVE-2017-11121 细节 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
联想被指控预装恶意软件,愿支付 350 万美元与 FTC 和解
据 VentureBeat 报道,笔记本电脑制造商联想公司日前与美国联邦贸易委员会(FTC)达成和解,同意支付 350 万美元,并对其销售笔记本电脑的方式作出调整,以换取 FTC 撤销对其销售预装软件的指控,此举被指危及用户安全。美国当地时间 5 日,联想与康涅狄格州、联邦贸易委员会以及其他 31 个州达成上述协议。 联想预装的软件名为 VisualDiscovery,从 2014 年 8 月开始安装在数十万台联想笔记本电脑上,目的是提供弹出式广告。然而当用户试图访问恶意网站而弹出警告时,也被该软件阻止。 FTC 声称,VisualDiscovery 能够访问消费者的敏感信息,比如社会保障号码。当然,这些信息并没有发送给出售 VisualDiscovery 的厂商 Superfish。FTC 主席莫林·奥豪森(Maureen Ohlhausen)在一份声明中表示:“ 联想在预装软件时侵犯了消费者的隐私,在没有给出通知或获得用户同意的情况下就可访问消费者的敏感信息。这种行为导致的后果非常严重,因为该软件破坏了消费者依赖的网络安全保护。” 联想在声明中表示,公司在 2015 年初就已经停止销售预装软件。尽管我们不同意这些申诉中的指控,但我们很高兴在两年半后结束这件事 。到目前为止,我们还没有接到任何第三方利用这些漏洞来获取用户通讯信息的实例报告 ”。FTC 表示,作为和解协议的一部分,在安装这类软件之前,联想同意首先获得消费者的同意并对任何数据收集或捆绑广告软件给予用户确切通知,且同意在未来二十年内接受安全检查。 稿源:cnBeta、网易科技,封面源自网络;
联想 IBM Storwize 附带的 USB 初始化工具内含恶意文件
据外媒 30 日报道,联想 IBM Storwize 磁盘阵列附带的 USB 闪存驱动器的初始化工具内含恶意文件。 调查显示,以下系统型号的 01AC585 USB 闪存驱动器初始化工具可能含有恶意文件: V3500 – 6096 型号的 02A 、 10A V3700 – 6099 型号的 12C、24C 、 2DC V5000 – 6194 型号的 12C 、 24C 此外,联想IBM Storwize 序列号以 78D2 开头的设备不受该恶意软件影响。 不过联想也专家表示,恶意软件并不影响存储系统的完整性或性能。当初始化工具从 USB 闪存驱动器启动至计算机初始配置时,它将自身复制到桌面或笔记本电脑的硬盘驱动器上的临时文件夹或恶意文件中。初始化 USB 闪存驱动器包含一个名为 InitTool 的文件夹,该工具与恶意软件同时被复制到该文件夹中: Windows系统:\ TMP \ initTool Linux与Mac系统:/ tmp / initTool IBM 与联想目前已采取必要措施,防止供应链出现其他任何问题、避免问题 USB 闪存驱动器继续流出。联想公司建议客户不要使用受感染的闪存驱动器,并及时联系公司获取 Storwize 系统的首次配置支持。此外,已受感染的客户系统需验证并通过杀毒软件进行检测删除。 附:恶意文件 MD5 0178a69c43d4c57d401bf9596299ea57 原作者:Pierluigi Paganini, 译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接