Lenovo 安全公告：LEN-75210

潜在影响：权限提升

严重性：高

影响范围：Lenovo 特定产品

CVE ID：CVE-2021-3922、CVE-2021-3969

摘要描述：

Lenovo Vantage 使用的 Lenovo System Interface Foundation 的 IMController 组件中报告了以下漏洞。

CVE-2021-3922：Lenovo System Interface Foundation 的软件组件 IMController 中报告了一个竞争条件漏洞，该漏洞可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。

CVE-2021-3969：Lenovo System Interface Foundation 的软件组件 IMController 中报告了 Time of Check Time of Use（TOCTOU）漏洞，该漏洞可能允许本地攻击者提升权限。

针对客户的缓解策略（应采取哪些措施进行自我保护）：

将 Lenovo System Interface Foundation 的 IMController 组件更新至版本 1.1.20.3。

Lenovo IMController 软件组件由 Lenovo System Interface Foundation Service 自动更新。要立即开始更新过程，请重新启动计算机或重新启动 System Interface Foundation Service。

要验证 Lenovo IMController 版本：

1. 打开文件资源管理器并导航到 C:\\Windows\\Lenovo\\ImController\\PluginHost\\


2. 右键单击 Lenovo.Modern.ImController.PluginHost.exe 并选择“属性”。


3. 单击“详细信息”选项卡。


4. 查看文件版本。

致谢：

Lenovo 谨对报告此问题的 Rick Veldhoven（来自 Fox-IT，隶属于 NCC Group）表示感谢。

修订历史：

要获得所有 Lenovo 产品安全公告的完整列表，请单击此处。

最新信息请关注 Lenovo 关于您的设备和软件的更新和公告。此公告内的信息“按原样”提供，我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。