IT之家 12 月 18 日消息,據外媒報道,有海外安全研究人員發現了聯想 Yoga、ThinkPad 系列筆記本中存在的兩個安全漏洞。這一漏洞并非 Windows 系統内的 Bug,而是 OEM 軟體的缺陷。安全人員發現,黑客可以利用這兩項漏洞獲得權限提升,進而便于控制系統。
以下為漏洞詳情:
CVE-2021-3922:Lenovo System Interface Foundation 的元件 IMController 中存在一個競争條件漏洞。本地攻擊者可以利用該漏洞與 IMController 子程序裡的命名管道(named pipe)進行連接配接,并與之互動。
CVE-2021-3969:這一漏洞同樣來自于 IMController 元件。一個時間檢查漏洞(TOCTOU)可以允許本地攻擊者提升權限。
雖然這兩個漏洞屬于本地漏洞,但是攻擊者也可以通過其它手段遠端連接配接電腦,并利用漏洞進行攻擊。幸運的是,聯想已經為 Lenovo System Interface Foundation 提供了更新,将其更新至 1.1.20.3 版本之後,可以修複 IMController 的問題。
據IT之家了解,本次更新将自動推送,使用者也可以通過重新開機計算機或重新開機“System Interface Foundation Service”服務來擷取更新。
想要檢查 Lenovo IMController 目前版本号,可以執行以下操作:
打開檔案資料總管,進入 C:\Windows\Lenovo\ImController\PluginHost\ 目錄。
右鍵單擊“Lenovo.Modern.ImController.PluginHost.exe”,打開屬性。
點選“詳細資訊”标簽。
檢視程式版本号。
IT之家獲悉,截至目前,聯想官網中 Lenovo System Interface Foundation 軟體還為更新至最新版,目前版本号為:1.1.19.8。