聯(lián)想 Yoga、ThinkPad 筆記本發(fā)現(xiàn)兩個漏洞，官方已修復(fù)

IT之家 12 月 18 日消息，據(jù)外媒報(bào)道，有海外安全研究人員發(fā)現(xiàn)了聯(lián)想 Yoga、ThinkPad 系列筆記本中存在的兩個安全漏洞。這一漏洞并非 Windows 系統(tǒng)內(nèi)的 Bug，而是 OEM 軟件的缺陷。安全人員發(fā)現(xiàn)，黑客可以利用這兩項(xiàng)漏洞獲得權(quán)限提升，從而便于控制系統(tǒng)。

以下為漏洞詳情：

• CVE-2021-3922：Lenovo System Interface Foundation 的組件 IMController 中存在一個競爭條件漏洞。本地攻擊者可以利用該漏洞與 IMController 子進(jìn)程里的命名管道（named pipe）進(jìn)行連接，并與之交互。

• CVE-2021-3969：這一漏洞同樣來自于 IMController 組件。一個時間檢查漏洞（TOCTOU）可以允許本地攻擊者提升權(quán)限。

雖然這兩個漏洞屬于本地漏洞，但是攻擊者也可以通過其它手段遠(yuǎn)程連接電腦，并利用漏洞進(jìn)行攻擊。幸運(yùn)的是，聯(lián)想已經(jīng)為 Lenovo System Interface Foundation 提供了更新，將其升級至 1.1.20.3 版本之后，可以修復(fù) IMController 的問題。

據(jù)IT之家了解，本次更新將自動推送，用戶也可以通過重啟計(jì)算機(jī)或重啟“System Interface Foundation Service”服務(wù)來獲取更新。

想要檢查 Lenovo IMController 當(dāng)前版本號，可以執(zhí)行以下操作：

• 打開文件資源管理器，進(jìn)入 C:\Windows\Lenovo\ImController\PluginHost\ 目錄。

• 右鍵單擊“Lenovo.Modern.ImController.PluginHost.exe”，打開屬性。

• 點(diǎn)擊“詳細(xì)信息”標(biāo)簽。

• 查看程序版本號。

IT之家獲悉，截至目前，聯(lián)想官網(wǎng)中 Lenovo System Interface Foundation 軟件還未更新至最新版，當(dāng)前版本號為：1.1.19.8。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。