您的聯想筆記本電腦固件存在 2 個嚴重漏洞

並非所有 PC 漏洞都是由 Microsoft 造成的。 有時，與筆記本電腦捆綁的軟件可能會引入其自身的嚴重問題。

安全研究人員發現，Lenovo Yoga 和 Lenovo ThinkPad 系列筆記本電腦中內置的管理軟件可以讓您的設備被利用。

他們發現 ImControllerService 服務中的兩個漏洞 可以利用它來獲得特權升級，從而控制系統。

漏洞是：

CVE-2021，3922：已報告 IMController 中存在競爭條件漏洞，這是 Lenovo System Interface Foundation 的一個軟件組件，可能允許本地攻擊者連接 IMController 子進程的命名管道並與之交互。

CVE-2021，3969：已在 IMController（聯想系統接口基金會的一個軟件組件）中報告了一個 Time of Check Time of Use (TOCTOU) 漏洞，該漏洞可能允許本地攻擊者提升權限。

雖然這些漏洞是本地漏洞，但攻擊者經常將漏洞鏈接在一起以最終控制您的 PC，這意味著即使是本地漏洞也需要修補。

幸運的是，Lenovo 為 Lenovo System Interface Foundation 的 IMController 組件提供了更新，將其升級到 1.1.20.3 版本並修復了該問題。

更新將自動推送，或者您可以通過重新啟動計算機或重新啟動“系統接口基礎服務”來手動觸發更新。

要檢查您是否已經擁有最新版本的 Lenovo IMController：

• 打開文件資源管理器並轉到 C:\Windows\Lenovo\ImController\PluginHost\
• 右鍵單擊 Lenovo.Modern.ImController.PluginHost.exe 並選擇屬性。
• 單擊詳細信息選項卡。
• 讀取文件的版本。

通過 WBI