联想 Yoga、ThinkPad 笔记本发觉两个漏洞，官方已修复

发布时间：2021-12-19 03:35:53 所属栏目：动态来源：互联网

导读：12 月 18 日消息，据外媒报道，有海外安全研究人员发现了联想 Yoga、ThinkPad 系列笔记本中存在的两个安全漏洞。这一漏洞并非 Windows 系统内的 Bug，而是 OEM 软件的缺陷。安全人员发现，黑客可以利用这两项漏洞获得权限提升，从而便于控制系统。以下为漏

12 月 18 日消息，据外媒报道，有海外安全研究人员发现了联想 Yoga、ThinkPad 系列笔记本中存在的两个安全漏洞。这一漏洞并非 Windows 系统内的 Bug，而是 OEM 软件的缺陷。安全人员发现，黑客可以利用这两项漏洞获得权限提升，从而便于控制系统。

以下为漏洞详情：

CVE-2021-3922：Lenovo System Interface Foundation 的组件 IMController 中存在一个竞争条件漏洞。本地攻击者可以利用该漏洞与 IMController 子进程里的命名管道（named pipe）进行连接，并与之交互。

CVE-2021-3969：这一漏洞同样来自于 IMController 组件。一个时间检查漏洞（TOCTOU）可以允许本地攻击者提升权限。

虽然这两个漏洞属于本地漏洞，但是攻击者也可以通过其它手段远程连接电脑，并利用漏洞进行攻击。幸运的是，联想已经为 Lenovo System Interface Foundation 提供了更新，将其升级至 1.1.20.3 版本之后，可以修复 IMController 的问题。

据IT之家了解，本次更新将自动推送，用户也可以通过重启计算机或重启“System Interface Foundation Service”服务来获取更新。

想要检查 Lenovo IMController 当前版本号，可以执行以下操作：

打开文件资源管理器，进入 C:WindowsLenovoImControllerPluginHost 目录。

右键单击“Lenovo.Modern.ImController.PluginHost.exe”，打开属性。

点击“详细信息”标签。

IT之家获悉，截至目前，联想官网中 Lenovo System Interface Foundation 软件还未更新至最新版，当前版本号为：1.1.19.8。

（编辑：包头站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

真正免费的pdf转换器挑	简谈该如何爬取海外网
8个透视表的使用窍门，	共享门店模式，是怎么