レノボ セキュリティ アドバイザリ: LEN-75210

潜在的影響: 特権昇格

重要度: 高

影響範囲: Lenovo限定

CVE ID: CVE-2021-3922, CVE-2021-3969

概要:

Lenovo Vantage、およびCommercial Vantageに使用されている Lenovo System Interface FoundationのIMController コンポーネントに以下の脆弱性が報告されています。

CVE-2021-3922: IMControllerに競合状態の脆弱性が確認されています。Lenovo System Interface Foundationのソフトウェアコンポーネントは、ローカル権限を持つ攻撃者がIMController の子プロセスpipeに接続して操作可能にします。

CVE-2021-3969: IMControllerに Time of Check Time of Use (TOCTOU) 脆弱性が確認され、Lenovo System Interface Foundationのソフトウェアコンポーネントがローカル権限の攻撃者に特権昇格を許可してしまいます。

お客様による対策:

Lenovo System Interface Foundationの IMController コンポーネントをバージョン 1.1.20.3へ更新してください。

Lenovo IMController ソフトウェアコンポーネントは、Lenovo System Interface Foundation サービスによって自動的に更新されます。更新処理を直ちに開始するには、コンピューターを再起動するか、System Interface Foundation Service サービスを再起動します。

Lenovo IMController のバージョンを確認するには:

1. ファイルエクスプローラーを開き C:\Windows\Lenovo\ImController\PluginHost\へ移動します。
2. Lenovo.Modern.ImController.PluginHost.exe を右クリックして「プロパティ」を選択します。
3. 「詳細」タブをクリックします。
4. ファイルバージョンを見ます。

他の方法では更新を手動でダウンロードしてインストールします。Lenovo System Interface Foundation の最新バージョンはこちら: https://filedownload.lenovo.com/enm/sift/core/System-Interface-Foundation-Update-64.exe

謝辞:

Lenovo thanks Rick Veldhoven from Fox-IT, part of NCC Group for reporting this issue.

編集履歴:

セキュリティアドバイザリの一覧は、こちらをクリックしてください。

最新情報につきましては、Lenovoのアドバイザリをご参照ください。このアドバイザリで提供される情報により、Lenovoが何らかの保証をするものではありません。また、Lenovoはアドバイザリの情報は何時でも予告なしに更新、または変更することができるものとします。