联想 Yoga、ThinkPad 笔记本发现两个漏洞,官方已修复
理财鱼小提示:联想 Yoga、ThinkPad 笔记本发现两个漏洞,官方已修复
12 月 18 日消息,据外媒报道,有海外安全研究人员发现了联想 Yoga、ThinkPad 系列笔记本中存在的两个安全漏洞。这一漏洞并非 Windows 系统内的 Bug,而是 OEM 软件的缺陷。安全人员发现,黑客可以利用这两项漏洞获得权限提升,从而便于控制系统。
以下为漏洞详情:
CVE-2021-3922:Lenovo System Interface Foundation 的组件 IMController 中存在一个竞争条件漏洞。本地攻击者可以利用该漏洞与 IMController 子进程里的命名管道(named pipe)进行连接,并与之交互。
CVE-2021-3969:这一漏洞同样来自于 IMController 组件。一个时间检查漏洞(TOCTOU)可以允许本地攻击者提升权限。
虽然这两个漏洞属于本地漏洞,但是攻击者也可以通过其它手段远程连接电脑,并利用漏洞进行攻击。幸运的是,联想已经为 Lenovo System Interface Foundation 提供了更新,将其升级至 1.1.20.3 版本之后,可以修复 IMController 的问题。
据IT之家了解,本次更新将自动推送,用户也可以通过重启计算机或重启“System Interface Foundation Service”服务来获取更新。
想要检查 Lenovo IMController 当前版本号,可以执行以下操作:
打开文件资源管理器,进入 C:\Windows\Lenovo\ImController\PluginHost\ 目录。
右键单击“Lenovo.Modern.ImController.PluginHost.exe”,打开属性。
点击“详细信息”标签。
查看程序版本号。
IT之家获悉,截至目前,联想官网中 Lenovo System Interface Foundation 软件还为更新至最新版,当前版本号为:1.1.19.8。
>相关《 联想 Yoga、ThinkPad 笔记本发现两个漏洞,官方已修复》内容:
1、 泓禧科技12月31日上会:主营笔记本电脑配件生产 惠普、联想等品牌供应商
挖贝网 12月26日,北京证券交易所上市委员会定于2021年12月31日上午9时召开2021年第4次审议会议。泓禧科技(871857)上会,参会委员为楚晋宏、时晋、黄亮、谢元勋、胡燕华。 挖贝研究院资料显示,泓禧科技主营业务为高精度电子线组件,新型、微型电声器件...【继续阅读】
2、 联想拯救者Y90双擎风冷电竞手机官宣:144Hz高刷+E4直屏
理财鱼小提示:联想拯救者Y90双擎风冷电竞手机官宣:144Hz高刷+E4直屏 12月24日消息,今日晚间,联想拯救者正式官宣新一代电竞手机——拯救者Y90双擎风冷电竞手机,同时揭晓了该机的屏幕部分参数。 预热海报显示, 拯救者Y90双擎风冷电竞手机配备了一块6.92英寸A...【继续阅读】
3、 拆显卡的品牌机能买吗?联想拯救者刃7000P到底值不值?
理财鱼小提示:拆显卡的品牌机能买吗?联想拯救者刃7000P到底值不值? 笔者一直都没推荐过品牌机,主要原因是大部分品牌机的电源、主板、散热都会有不同程度“缩水”。可是现在显卡价格疯涨,品牌机反而成为了性价比之选,尤其是联想拯救者刃系列。该系列产品做...【继续阅读】