近日来自Trustwave的安全研究人员发现,西部数据的SSD Dashboard工具箱软件程序存在2个安全漏洞,可能导致用户系统信息泄露并可能被利用安装恶意软件。
第一个安全漏洞是所有2.5.1.0版本之前的SSD Dashboard软件都使用HTTP网络协议与Web服务器进行通信。
这可能受到MITM中间人攻击而导致系统信息泄露、被攻击者控制电脑下载和执行恶意代码等。西数在新版本工具箱中改用HTTPS来修复该漏洞。
第二个安全漏洞来自生成报告功能,该功能用来提交系统信息给西数的售后技术支持人员。由于软件代码中使用了“硬编码的密码”,即每次加密都使用完全相同的密码,有可能导致潜在敏感信息泄露。
硬编码密码往往是程序员偷懒的结果。无独有偶,2016年联想也曾被发现在文件共享软件中使用“12345678”作为硬编码密码。
西数在新版本SSD Dashboard中取消了在线提交报告文件的功能,需要用户手动发送电子邮件。依然在偷懒,但至少更安全。
固态硬盘工具箱软件通常会在安装后常驻Windows后台以执行健康度监测等功能,安全漏洞都可能带来广泛的影响。电脑中安装有西数SSD Dashboard软件的朋友请尽快升级至2.5.1.0版本。
来源:PCEVA
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!