昨日，聯想發布固件升級，修復了旗下某些設備的BIOS問題，原本該漏洞可讓黑客獲得對桌面計算機或筆記本的控制權。在聯想的新聞稿中，聯想特別催促消費用戶進行BIOS的手動升級，此后的更多聯想機型默認出廠時即修復此漏洞。

[[146362]]

這項漏洞源于包含了聯想稱之為Lenovo Service Engine(LSE，聯想服務引擎)特性的BIOS固件，實際上也就是采用了微軟的一項Windows機制，此特性存在于不少面向消費用戶的PC產品上，此問題最早是由獨立安全研究人員Roel Schouwenberg指出的。

在和Schouwenberg的合作下，聯想與微軟的確發現，此程序可被黑客利用，包含了“緩沖區溢出攻擊以及針對聯想測試服務器的攻擊連接”。針對這一發現，微軟近期已發布更新版安全指導(點擊這里查看，位于第10頁)。

“聯想對LSE的采用并不符合現有新指導原則，因此LSE不會再安裝至聯想系統之上。強烈推薦消費用戶采用新BIOS固件升級系統，該固件可禁用或移除此特性。”

此外，聯想也專門發布了幫助用戶進行升級的介紹，想了解自己所用的聯想設備是否受到影響，可點擊這里查看。