LenovoのThinkPadやYogaなどのノートPCに特権昇格の脆弱性

　海外メディアのBLEEPINGCOMPUTERは12月16日(現地時間)、LenovoのThinkPadやYogaなどのノートPCに特権昇格バグがあり、攻撃者が管理者特権でコマンドを実行できる脆弱性があると報告した。

　この欠陥はCVE-2021-3922およびCVE-2021-3969として報告されており、Lenovoの多くのPCにプリインストールされている「Lenovo System Interface Foundation」における「ImControllerService」コンポーネントのバージョン1.1.20.3よりも前のものを利用した脆弱性となる。

　「LenovoSystemInterface Foundation Service」は、システムの電源管理、システム最適化、ドライバとアプリケーションの更新、Lenovo Companion、Lenovo Settings、LenovoIDなどのLenovoアプリケーションへのシステム設定などの主要機能のインターフェイスを提供するものだという。このサービスを無効にすると、Lenovoのアプリケーションが正常に動作しなくなる可能性がある。

【12月20日下記を追記】

　レノボでは、この件に関してセキュリティアドバイザリと、Lenovo System Interface FoundationのIMControllerコンポーネントの改修版を公開している。