12 月 18 日消息,據外媒報道,有海外安全研究人員發現了聯想 Yoga、ThinkPad 系列筆記本中存在的兩個安全漏洞。這一漏洞并非 Windows 系統內的 Bug,而是 OEM 軟件的缺陷。安全人員發現,黑客可以利用這兩項漏洞獲得權限提升,從而便于控制系統。
以下為漏洞詳情:
CVE-2021-3922:Lenovo System Interface Foundation 的組件 IMController 中存在一個競爭條件漏洞。本地攻擊者可以利用該漏洞與 IMController 子進程里的命名管道(named pipe)進行連接,并與之交互。
CVE-2021-3969:這一漏洞同樣來自于 IMController 組件。一個時間檢查漏洞(TOCTOU)可以允許本地攻擊者提升權限。
雖然這兩個漏洞屬于本地漏洞,但是攻擊者也可以通過其它手段遠程連接電腦,并利用漏洞進行攻擊。幸運的是,聯想已經為 Lenovo System Interface Foundation 提供了更新,將其升級至 1.1.20.3 版本之后,可以修復 IMController 的問題。
據IT之家了解,本次更新將自動推送,用戶也可以通過重啟計算機或重啟“System Interface Foundation Service”服務來獲取更新。
想要檢查 Lenovo IMController 當前版本號,可以執行以下操作:
打開文件資源管理器,進入 C:\Windows\Lenovo\ImController\PluginHost\ 目錄。
右鍵單擊“Lenovo.Modern.ImController.PluginHost.exe”,打開屬性。
點擊“詳細信息”標簽。
查看程序版本號。
IT之家獲悉,截至目前,聯想官網中 Lenovo System Interface Foundation 軟件還為更新至最新版,當前版本號為:1.1.19.8。
【來源:IT之家】
