【安全公告】LEN-75210 Lenovo Vantage 组件漏洞-联想乐享知识库

【安全公告】LEN-75210 Lenovo Vantage 组件漏洞 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告：LEN-75210 潜在影响：权限提升 严重性：高 影响范围：Lenovo 特定产品 CVE ID：CVE-2021-3922、CVE-2021-3969 摘要描述： Lenovo Vantage 使用的 Lenovo System Interface Foundation 的 IMController 组件中报告了以下漏洞。 CVE-2021-3922：Lenovo System Interface Foundation 的软件组件 IMController 中报告了一个竞争条件漏洞，该漏洞可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。 CVE-2021-3969：Lenovo System Interface Foundation 的软件组件 IMController 中报告了 Time of Check Time of Use（TOCTOU）漏洞，该漏洞可能允许本地攻击者提升权限。 解决方案: 针对客户的缓解策略（应采取哪些措施进行自我保护）： 将 Lenovo System Interface Foundation 的 IMController 组件更新至版本 1.1.20.3。 Lenovo IMController 软件组件由 Lenovo System Interface Foundation Service 自动更新。要立即开始更新过程，请重新启动计算机或重新启动 System Interface Foundation Service。 要验证 Lenovo IMController 版本： 打开文件资源管理器并导航到 C:\\Windows\\Lenovo\\ImController\\PluginHost\\ 右键单击 Lenovo.Modern.ImController.PluginHost.exe 并选择“属性”。 单击“详细信息”选项卡。 查看文件版本。 致谢： Lenovo 谨对报告此问题的 Rick Veldhoven（来自 Fox-IT，隶属于 NCC Group）表示感谢。 修订历史： 修订版本 日期 描述 1 2021-12-14 初始版本 要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。 最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。