个人电脑大厂联想(Lenovo)传出在其在桌上型与笔记型电脑随附的工具软件藏有重大安全漏洞，可让黑客取得系统层级权限执行恶意程式，联想已于4月底的安全更新紧急修复此一漏洞。

发现此一漏洞的资安公司Trustware表示，该公司安全人员能够透过联想的Lenovo Solution Center(LSC)软件漏洞取得系统权限，并执行恶意程式，甚至在使用者未开启执行LSC应用软件的状况下，仍可得逞。

由于LSC被安装在联想所有出厂的标准产品上，因此几乎所有的联想电脑，若未尽速更新，都仍暴露在风险中。

联想表示，出问题的软体由两个元件组成，一个是前端使用者介面，另一个则是后端服务流程LSCTaskService，后者在使用者未开启LSC的状况下，仍会执行，而软体漏洞也发生在后端服务这层，可导致本地端使用者执行任何系统层级的程序代码；此外，由于该软体另有跨站请求伪造(CSRF)漏洞，一旦使用者连上了恶意网页，仍可能遭到攻击。

尽管联想已经修补漏洞，但此类由硬体厂商随附的工具软件本身的安全问题，也成为常见隐忧。此类非由消费者主动安装的软体又被戏称为「臃肿软件」或「垃圾软件」，由于硬体厂商多半利用其提供系统安全、系统健检等服务，常常发生系统层的安全风险，光是过去两年，联想便发生三起有关问题。