12 月 18 日訊息，據外媒報道，有海外安全研究人員發現了聯想 Yoga、ThinkPad 系列筆記本中存在的兩個安全漏洞。這一漏洞並非 Windows 系統內的 Bug，而是 OEM 軟體的缺陷。安全人員發現，黑客可以利用這兩項漏洞獲得許可權提升，從而便於控制系統。

以下為漏洞詳情：

• CVE-2021-3922：Lenovo System Interface Foundation 的元件 IMController 中存在一個競爭條件漏洞。本地攻擊者可以利用該漏洞與IMController 子程序裡的命名管道（named pipe）進行連線，並與之互動。

• CVE-2021-3969：這一漏洞同樣來自於 IMController 元件。一個時間檢查漏洞（TOCTOU）可以允許本地攻擊者提升許可權。

雖然這兩個漏洞屬於本地漏洞，但是攻擊者也可以通過其它手段遠端連線電腦，並利用漏洞進行攻擊。幸運的是，聯想已經為 Lenovo System Interface Foundation 提供了更新，將其升級至 1.1.20.3 版本之後，可以修復 IMController 的問題。

據瞭解，本次更新將自動推送，使用者也可以通過重啟計算機或重啟“System Interface Foundation Service”服務來獲取更新。

想要檢查 Lenovo IMController 當前版本號，可以執行以下操作：

• 開啟檔案資源管理器，進入 C:\Windows\Lenovo\ImController\PluginHost\ 目錄。

• 右鍵單擊“Lenovo.Modern.ImController.PluginHost.exe”，開啟屬性。

• 點選“詳細資訊”標籤。

• 檢視程式版本號。

獲悉，截至目前，聯想官網中Lenovo System Interface Foundation 軟體還未更新至最新版，當前版本號為：1.1.19.8。