您的联想笔记本电脑固件存在 2 个严重漏洞

并非所有 PC 漏洞都是由 Microsoft 造成的。 有时，与笔记本电脑捆绑的软件可能会引入其自身的严重问题。

安全研究人员发现，Lenovo Yoga 和 Lenovo ThinkPad 系列笔记本电脑中内置的管理软件可以让您的设备被利用。

他们发现 ImControllerService 服务中的两个漏洞 可以利用它来获得特权升级，从而控制系统。

漏洞包括：

CVE-2021-3922：已报告 IMController 中存在竞争条件漏洞，这是 Lenovo System Interface Foundation 的一个软件组件，可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。

CVE-2021-3969：已在 IMController（联想系统接口基金会的一个软件组件）中报告了一个 Time of Check Time of Use (TOCTOU) 漏洞，该漏洞可能允许本地攻击者提升权限。

虽然这些漏洞是本地漏洞，但攻击者经常将漏洞链接在一起以最终控制您的 PC，这意味着即使是本地漏洞也需要修补。

幸运的是，Lenovo 为 Lenovo System Interface Foundation 的 IMController 组件提供了更新，将其升级到 1.1.20.3 版本并修复了该问题。

更新将自动推送，或者您可以通过重新启动计算机或重新启动“系统接口基础服务”来手动触发更新。

要检查您是否已经拥有最新版本的 Lenovo IMController：

• 打开文件资源管理器并转到 C:\Windows\Lenovo\ImController\PluginHost\
• 右键单击 Lenovo.Modern.ImController.PluginHost.exe 并选择属性。
• 单击详细信息选项卡。
• 读取文件的版本。

通过 WBI