並非所有的PC漏洞都是由微軟造成的。 有時候，預裝在筆記本中的應用也會帶來嚴重的問題。 近日，安全研究人員發現聯想 Yoga 和 ThinkPad 系列筆記本中內置的管理軟體存在漏洞，有被駭客攻擊和利用的潛在風險。 安全專家在 ImControllerService 服務中發現了兩個漏洞，可被利用來獲得許可權升級，從而控制系統。

這些漏洞是：

CVE-2021-3922：在IMController（聯想系統介面基礎的一個軟體元件）報告了一個競賽條件漏洞，這可能允許本地攻擊者連接並與IMController子進程的命名管道互動。

CVE-2021-3969：聯想系統介面基礎的軟體元件IMController中報告了一個檢查使用時間（TOCTOU）的漏洞，這可能允許本地攻擊者提升許可權。

雖然這些漏洞是本地漏洞，但攻擊者經常將漏洞連鎖起來，最終控制你的電腦，這意味著即使是本地漏洞也需要打補丁。 幸運的是，聯想對IMController元件進行了更新，使其達到1.1.20.3版本，並修復了該問題。

該更新將被自動推送，或者你可以通過重啟電腦或重啟”系統介面基礎服務”來手動觸發更新。 要檢查你是否已經有最新版本的聯想IMController。

1. 打開檔管理員，進入C：（Windows） （Lenovo） （ImController） （PluginHost）。

2. 右鍵點擊Lenovo.Modern.ImController.PluginHost.exe，選擇屬性。

3. 點擊「詳細資訊」 選項卡。

4. 閱讀該檔的版本。