לקושחה המחשב הנייד של Lenovo שלך יש 2 פגיעויות חמורות
2 דקות לקרוא
עודכן בתאריך
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
לא כל פגיעויות המחשב נובעות ממיקרוסופט. לפעמים התוכנה המצורפת למחשב נייד יכולה להציג בעיות חמורות משלה.
חוקרי אבטחה גילו שתוכנת הניהול המובנית במגוון המחשבים הניידים של Lenovo Yoga ו-Lenovo ThinkPad יכולה לפתוח את המכשיר שלך לניצול.
הם גילו שתי נקודות תורפה בשירות ImControllerService שניתן לנצל כדי להשיג הסלמה של הרשאות ובכך לשלוט במערכת.
נקודות התורפה הן:
CVE-2021-3922: דווחה על פגיעות של מצב מירוץ ב-IMController, רכיב תוכנה של Lenovo System Interface Foundation, שיכול לאפשר לתוקף מקומי להתחבר ולקיים אינטראקציה עם הצינור הנקרא של תהליך הילד של IMController.
CVE-2021-3969: פגיעות זמן של בדיקת זמן שימוש (TOCTOU) דווחה ב-IMController, רכיב תוכנה של Lenovo System Interface Foundation, שעלול לאפשר לתוקף מקומי להעלות הרשאות.
בעוד שהחולשות הן ניצול מקומי, תוקפים לרוב משלשלים יחד ניצולים כדי בסופו של דבר להשתלט על המחשב האישי שלך, כלומר אפילו ניצול מקומי צריך להיות תיקון.
למרבה המזל, לנובו יש עדכון זמין לרכיב ה-IMController של Lenovo System Interface Foundation שלוקח אותו לגרסה 1.1.20.3 ואשר פותר את הבעיה.
העדכון יידחק אוטומטית החוצה או שתוכל להפעיל את העדכון באופן ידני על ידי הפעלה מחדש של המחשב או הפעלה מחדש של "שירות בסיס ממשק המערכת".
כדי לבדוק אם כבר יש לך את הגרסה העדכנית ביותר של Lenovo IMController:
- פתח את סייר הקבצים ועבור אל C: \ Windows \ Lenovo \ ImController \ PluginHost \
- לחץ לחיצה ימנית על Lenovo.Modern.ImController.PluginHost.exe ובחר מאפיינים.
- לחץ על הכרטיסייה פרטים.
- קרא את הגרסה של הקובץ.
באמצעות WBI
