您的聯想筆記本電腦固件存在 2 個嚴重漏洞
2分鐘讀
更新了
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
並非所有 PC 漏洞都是由 Microsoft 造成的。 有時,與筆記本電腦捆綁的軟件可能會引入其自身的嚴重問題。
安全研究人員發現,Lenovo Yoga 和 Lenovo ThinkPad 系列筆記本電腦中內置的管理軟件可以讓您的設備被利用。
他們發現 ImControllerService 服務中的兩個漏洞 可以利用它來獲得特權升級,從而控制系統。
漏洞是:
CVE-2021,3922:已報告 IMController 中存在競爭條件漏洞,這是 Lenovo System Interface Foundation 的一個軟件組件,可能允許本地攻擊者連接 IMController 子進程的命名管道並與之交互。
CVE-2021,3969:已在 IMController(聯想系統接口基金會的一個軟件組件)中報告了一個 Time of Check Time of Use (TOCTOU) 漏洞,該漏洞可能允許本地攻擊者提升權限。
雖然這些漏洞是本地漏洞,但攻擊者經常將漏洞鏈接在一起以最終控制您的 PC,這意味著即使是本地漏洞也需要修補。
幸運的是,Lenovo 為 Lenovo System Interface Foundation 的 IMController 組件提供了更新,將其升級到 1.1.20.3 版本並修復了該問題。
更新將自動推送,或者您可以通過重新啟動計算機或重新啟動“系統接口基礎服務”來手動觸發更新。
要檢查您是否已經擁有最新版本的 Lenovo IMController:
- 打開文件資源管理器並轉到 C:\Windows\Lenovo\ImController\PluginHost\
- 右鍵單擊 Lenovo.Modern.ImController.PluginHost.exe 並選擇屬性。
- 單擊詳細信息選項卡。
- 讀取文件的版本。
通過 WBI