记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

联想Idea产品型号自动检测工具可导致用户系统信息泄漏

2015-06-16 18:10

联想Idea产品型号自动检测工具可导致用户系统信息泄漏

LenovoSP.CAB IE控件提供的接口GetSoftwareInfo可获取用户系统中安装的软件列表(xpsp3+win7 x86+win8x64),甚至显示系统的更新补丁安装情况(xpsp3下测试可获取更新补丁信息)

攻击者在获取到这些系统信息后可直接做针对某版本系统或软件的已知漏洞攻击或漏洞挖掘后再攻击。

漏洞证明:

以下两个视频分别演示了该控件导致的用户系统信息被获取和在xp sp3系统下的系统更新补丁信息也被获取到了

http://1drv.ms/1CmpZYs

http://1drv.ms/1Cmq6TV

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-0101732

阅读:91633 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“联想Idea产品型号自动检测工具可导致用户系统信息泄漏”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云