Huawei「太子女」孟晚舟被揭攜有蘋果 iPhone 7 Plus 、 MacBook Air 及 iPad Pro 的新聞,至今都令人津津樂道。雖可解釋為研究競爭對手的產品,但大家都很好奇為何孟晚舟被捕時,只攜帶 Mate 20 RS Porsche Design 一款華為產品呢?背後原因當然無從得知,不過最近 Huawei MateBook 筆電就被爆藏有「後門」。
微軟揭發安全漏洞
據 Microsoft 資訊安全部落格指,很多廠商都會在電腦產品中預載一些程式,方便用家管理系統,而這些程式通常都會在電腦內核( Kernel )執行最高層級的 ring-0 特權。一旦有漏洞,就可被駭客利用作為入侵電腦的切入點,因此管理程式的安全性攸關重要。然而他們於今年一月收到 Microsoft Defender Advanced Threat Protection(ATP)的警報,顯示 Huawei MateBook 筆電預載的 PC Manager 管理程式有不尋常的舉動,發現內有漏洞可讓無特權的用戶,自行升級特權(Privilege Escalation)來獲取進階存取權限及執行程序,倘若被駭客利用的話,就有機會被竊取敏感資料及更改系統設定。不過 Microsoft 的報告並沒有指出目前有任何駭客利用此漏洞,亦沒有提及任何關於中國政府的字眼。
官方稱有更新檔修正
此安全漏洞的代號為 CVE-2019-5241 ,據 Huawei 官網稱,他們早於一月已推出 9.0.1.70 的 PC Manager 更新來修補漏洞。近日筆者也收到 Huawei MateBook 13 新款筆電作開箱評測,內裡預載的 PC Manager 版本為 9.0.2.20,亦開啟了自動更新 PC Manager 的功能,以版本來計就已堵截上述漏洞。至於跑分及評語,可密切留意下期《PCM》雜誌。