聯(lián)想 Yoga、ThinkPad 筆記本發(fā)現(xiàn)兩個(gè)漏洞,官方已修復(fù)

2021/12/18 8:23:26 來(lái)源:IT之家 作者:沐泉 責(zé)編:沐泉

IT之家 12 月 18 日消息,據(jù)外媒報(bào)道,有海外安全研究人員發(fā)現(xiàn)了聯(lián)想 Yoga、ThinkPad 系列筆記本中存在的兩個(gè)安全漏洞。這一漏洞并非 Windows 系統(tǒng)內(nèi)的 Bug,而是 OEM 軟件的缺陷。安全人員發(fā)現(xiàn),黑客可以利用這兩項(xiàng)漏洞獲得權(quán)限提升,從而便于控制系統(tǒng)。

ThinkPad X1 Carbon Gen 9

以下為漏洞詳情:

  • CVE-2021-3922:Lenovo System Interface Foundation 的組件 IMController 中存在一個(gè)競(jìng)爭(zhēng)條件漏洞。本地攻擊者可以利用該漏洞與 IMController 子進(jìn)程里的命名管道(named pipe)進(jìn)行連接,并與之交互。

  • CVE-2021-3969:這一漏洞同樣來(lái)自于 IMController 組件。一個(gè)時(shí)間檢查漏洞(TOCTOU)可以允許本地攻擊者提升權(quán)限。

雖然這兩個(gè)漏洞屬于本地漏洞,但是攻擊者也可以通過(guò)其它手段遠(yuǎn)程連接電腦,并利用漏洞進(jìn)行攻擊。幸運(yùn)的是,聯(lián)想已經(jīng)為 Lenovo System Interface Foundation 提供了更新,將其升級(jí)至 1.1.20.3 版本之后,可以修復(fù) IMController 的問(wèn)題。

據(jù)IT之家了解,本次更新將自動(dòng)推送,用戶(hù)也可以通過(guò)重啟計(jì)算機(jī)或重啟“System Interface Foundation Service”服務(wù)來(lái)獲取更新。

想要檢查 Lenovo IMController 當(dāng)前版本號(hào),可以執(zhí)行以下操作:

  • 打開(kāi)文件資源管理器,進(jìn)入 C:\Windows\Lenovo\ImController\PluginHost\ 目錄。

  • 右鍵單擊“Lenovo.Modern.ImController.PluginHost.exe”,打開(kāi)屬性。

  • 點(diǎn)擊“詳細(xì)信息”標(biāo)簽。

  • 查看程序版本號(hào)。

聯(lián)想官方頁(yè)面截圖

IT之家獲悉,截至目前,聯(lián)想官網(wǎng)中 Lenovo System Interface Foundation 軟件還未更新至最新版,當(dāng)前版本號(hào)為:1.1.19.8。

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:聯(lián)想,漏洞,ThinkPad

軟媒旗下網(wǎng)站: IT之家 最會(huì)買(mǎi) - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買(mǎi) 要知