当前位置: 软件志 >资讯 > 联想笔记本电脑固件曝2个严重的漏洞

联想笔记本电脑固件曝2个严重的漏洞

更新时间:2021-12-18 13:50:39    浏览次数:698+次

并非所有的PC漏洞都是由微软造成的。有时,与笔记本电脑捆绑的软件也会带来自己的严重问题。

安全研究人员发现,联想Yoga和联想ThinkPad系列笔记本电脑内置的管理软件可以让你的设备被利用。

他们在ImControllerService服务中发现了两个漏洞,可被利用来获得权限升级,从而控制系统。

这些漏洞是:

CVE-2021-3922:联想系统接口基础的软件组件IMController中报告了一个竞赛条件漏洞,这可能允许本地攻击者连接并与IMController子进程的命名管道互动。

CVE-2021-3969:联想系统界面基础的软件组件IMController中报告了一个检查使用时间(TOCTOU)的漏洞,这可能允许本地攻击者提升权限。

虽然这些漏洞是本地漏洞,但攻击者经常将漏洞连锁起来,最终控制你的电脑,这意味着即使是本地漏洞也需要打补丁。

幸运的是,联想已对IMController组件进行了更新,使其达到1.1.20.3版本,并修复了这个问题。

更新会自动推送,或者你可以通过重启电脑或重启 “系统界面基础服务 “来手动触发更新。

联想笔记本电脑固件曝2个严重的漏洞图片

要检查你是否已经拥有最新版本的联想IMController:

  • 打开文件管理器,进入 C: \ Windows \ Lenovo \ ImController \ PluginHost \。
  • 右键单击Lenovo.Modern.ImController.PluginHost.exe,选择属性。
  • 点击 “详细信息 “选项卡。
  • 阅读该文件的版本。