並非所有的 PC 漏洞都是由微軟造成的。有時候,預裝在筆記本中的應用也會帶來嚴重的問題。近日,安全研究人員發現聯想 Yoga 和 ThinkPad 系列筆記本中內建的管理軟體存在漏洞,有被駭客攻擊和利用的潛在風險。安全專家在 ImControllerService 服務中發現了兩個漏洞,可被利用來獲得許可權升級,從而控制系統。
這些漏洞是:
CVE-2021-3922: 在IMController(聯想系統介面基礎的一個軟體元件)報告了一個競賽條件漏洞,這可能允許本地攻擊者連線並與 IMController 子程序的命名管道互動。
CVE-2021-3969:聯想系統介面基礎的軟體元件IMController中報告了一個檢查使用時間(TOCTOU)的漏洞,這可能允許本地攻擊者提升許可權。
雖然這些漏洞是本地漏洞,但攻擊者經常將漏洞連鎖起來,最終控制你的電腦,這意味著即使是本地漏洞也需要打補丁。幸運的是,聯想對 IMController 元件進行了更新,使其達到1.1.20.3版本,並修復了該問題。
該更新將被自動推送,或者你可以透過重啟電腦或重啟"系統介面基礎服務"來手動觸發更新。要檢查你是否已經有最新版本的聯想IMController。
1. 開啟檔案管理器,進入C:(Windows) (Lenovo) (ImController) (PluginHost)。
2. 右鍵點選Lenovo.Modern.ImController.PluginHost.exe,選擇屬性。
3. 點選"詳細資訊"選項卡。
4. 閱讀該檔案的版本。