HP電腦使用8年的技術支援軟體含有多項安全漏洞,即使新版也仍有漏洞未補完

品牌電腦預安裝的管理軟體再傳有安全問題。安全研究人員發現,過去8年來內建於HP Windows電腦的技術支援軟體,一連出現權限升級、刪除檔案及遠端攻擊漏洞,雖然HP已經釋出最新版軟體,但還有部份漏洞仍未修補完成。

專門在Dell及Lenovo等主要品牌電腦研究腫脹軟體(bloatware)的安全研究人員Bill Demirkapi,近日公布在HP技術支援助理(HP Support Assistant)上的研究發現。這套軟體內建於2012年以來的HP電腦,作業系統涵括Windows 7、8及10。

Demirkapi在HP技術支援助理上,一共發現5個本機權限升級(local privilege escalation)、2個任意檔案刪除(arbitrary file deletion),以及3個遠端程式碼執行(RCE)漏洞。研究人員去年10月及今年1月兩度通報HP後,HP分別於去年12月及今年3月,修補了2個任意檔案刪除(arbitrary file deletion)及3個遠端程式碼執行(RCE)漏洞,不過還有三個本機權限升級漏洞沒有修補,其中一個即便HP修補了,但研究人員認為並不完全。

HP已經針對PC及印表機產品,釋出最新版技術支援助理9.6.587.0及8.8.24.33版,但該程式並不會自動更新,除非用戶之前提供明顯同意(opt-in)。

不過,有鑒於仍然有漏洞,研究人員及防毒公司ESET建議,最好的方法或許是將之移除。

品牌電腦預安裝的軟體,已經被安全專家視為腫脹軟體(bloatware),反而增加安全風險。Dell電腦的SupportAssist今年初去年5月,以及去年6月,已3度被發現有安全漏洞。聯想Lenovo Solution Centre也在去年被爆,有可使駭客取得管理員權限執行程式,甚至接管裝置的漏洞。

原文來自 iThome Online