膨胀件

北京时间6月1日消息，据科技网站CNET报道，当地时间周二，安全公司Duo Security旗下研究部门Duo Labs发表调查报告称，宏碁、华硕、戴尔、惠普和联想笔记本预装的软件更新工具，均包含有至少一处危急安全缺陷，黑客可以轻松利用这些缺陷兴风作浪。Duo Labs在所有PC厂商预装的软件中发现12处不同的安全缺陷。

PC厂商预装软件包括对产品注册的软件以及让用户免费试用30天的软件，它们通常被称为膨胀件，因为它们基本上没有什么用途，也不是应用户要求安装的。据Duo Labs称，膨胀件不仅是多余的，还经常成为安全链条上的薄弱环节。

安全研究人员达伦·肯普(Darren Kemp)周二发表博文称，“黑客利用大多数这些缺陷兴风作浪的难度不高。”

Duo Labs的调查突显了非必要软件的风险。用户很少使用，甚至不知道笔记本上安装有这些软件，它们通常不会得到及时更新，很容易成为黑客攻击的靶子。报告指出，PC厂商还没有在这些更新工具中采取基本的安全措施。膨胀件不仅仅令人讨厌，还会带来安全风险。

报告称，真正让人沮丧的是，笔记本用户对于由厂商更新工具造成的安全缺陷基本上无计可施，消除这些安全风险需要大量时间和精力：研究团队建议用户清除OEM系统，重新安装没有膨胀件的Windows拷贝，卸载任何不必要的软件。

Duo Labs已经向PC厂商通报了它们软件中的缺陷，部分缺陷已经被修复。Duo Labs之所以选择研究这些品牌，是因为它们的产品受到用户青睐。Duo Labs称，在许多情况下，使用OEM更新工具中的加密技术，能提高缺陷被黑客利用的难度。

Duo Labs称，惠普已经修正了其更新工具中的高风险缺陷，联想将发布更新包，卸载旗下所有笔记本中的问题软件。宏碁和华硕承认它们的产品存在缺陷，但尚未发布补丁软件。在Duo Labs接洽前，戴尔就发布了一款更新包，修正其产品存在的多个缺陷。

(责任编辑：安博涛)