IT之家 12 月 18 据外国媒体报道,海外安全研究人员发现了联想 Yoga、ThinkPad 笔记本系列中的两个安全漏洞。这个漏洞不是 Windows 系统内的 Bug,而是 OEM 软件缺陷。安全人员发现,黑客可以利用这两个漏洞来提高他们的权限,便控制系统。
以下是漏洞细节:
CVE-2021-3922:Lenovo System Interface Foundation 的组件 IMController 竞争条件存在漏洞。本地攻击者可以利用这个漏洞和 IMController 子过程中的命名管道(named pipe)连接并与之互动。
CVE-2021-3969021-3969 IMController 组件。检查漏洞的时间(TOCTOU)本地攻击者可以提高权限。
虽然这两个漏洞属于本地漏洞,但攻击者也可以通过其他方式远程连接计算机,并使用漏洞进行攻击。幸运的是,联想已经做到了 Lenovo System Interface Foundation 提供更新,升级到 1.1.20.3 版本完成后,可以修复 IMController 的问题。
据IT本次更新将自动推送,用户也可以通过重启计算机或重启System Interface Foundation Service获得更新服务。
想要检查 Lenovo IMController 当前版本号可执行以下操作:
打开文件资源管理器 C:\\Windows\\Lenovo\\ImController\\PluginHost\\ 目录。
右键单击“Lenovo.Modern.ImController.PluginHost.exe打开属性。
点击详细信息标签。
查看程序版本号。
IT到目前为止,联想官网已经了解到 Lenovo System Interface Foundation 软件也更新到最新版本,当前版本号为:1.1.19.8。