联想 Yoga、ThinkPad 笔记本发现两个漏洞，官方已修复

IT之家 12 月 18 日音讯，据外媒报导，有外洋安宁钻研人员发现了联想 Yoga、ThinkPad 系列笔记原中存正在的两个安宁漏洞。那一漏洞并非 Windows 系统内的 Bug，而是 OEM 软件的缺陷。安宁人员发现，黑客可以操做那两项漏洞与得权限提升，从而便于控制系统。

以下为漏洞详情：

CVE-2021-3922：Lenovo System Interface Foundation 的组件 IMController 中存正在一个折做条件漏洞。原地打击者可以操做该漏洞取 IMController 子进程里的定名管道（named pipe）停行连贯，并取之交互。

CVE-2021-3969：那一漏洞同样来自于 IMController 组件。一个光阳检查漏洞（TOCTOU）可以允许原地打击者提升权限。

尽管那两个漏洞属于原地漏洞，但是打击者也可以通过其他技能花腔远程连贯电脑，并操做漏洞停行打击。侥幸的是，联想曾经为 Lenovo System Interface Foundation 供给了更新，将其晋级至 1.1.20.3 版原之后，可以修复 IMController 的问题。

据IT之家理解，原次更新将主动推送，用户也可以通过重启计较机或重启“System Interface Foundation Service”效逸来获与更新。

想要检查 Lenovo IMController 当前版原号，可以执止以下收配：

打开文件资源打点器，进入 C:\Windows\Lenovo\ImController\PluginHost\ 目录。

左键单击“Lenovo.Modern.ImController.PluginHost.exe”，打开属性。

点击“具体信息”标签。

查察步调版原号。

IT之家得知，截至目前，联想官网中 Lenovo System Interface Foundation 软件还未更新至最新版，当前版原号为：1.1.19.8。