Sicherheitsforscher haben in der Management Software der Lenovo Yoga und ThinkPad Laptops zwei Sicherheitslücken entdeckt, über welche die Geräte angegriffen werden konnten.
Die Lücken befinden sich im ImControllerService-Dienst und diese können genutzt werden, um eine Priviledge Escalation durchzuführen und sich so erweiterte Rechte im System zu holen.
Es handelt sich um die Sicherheitslücken mit den Bezeichnungen CVE-2021-3922 sowie CVE-2021-3969. Lenovo hat beide Lücken bereits per Update behoben. Die neue Version lautet 1.1.20.3 und damit wurden die entsprechenden Fehler bereits behoben. Die Aktualisierung wird entweder automatisch eingespielt oder kann durch einen Neustart des „System Interface Foundation Service“-Dienstes oder durch einen Neustart des Computers eingespielt werden.
Ob ihr die neueste Version installiert habt oder euch überhaupt die Lücke betrifft, könnt ihr prüfen, indem ihr im Windows Explorer zu C: \ Windows \ Lenovo \ ImController \ PluginHost \ navigiert und dort die Eigenschaft der Lenovo.Modern.ImController.PluginHost.exe Datei überprüft.
via mspu