Брешь в ноутбуках Lenovo ThinkPad и Yoga позволяла получить права админа

Брешь в ноутбуках Lenovo ThinkPad и Yoga позволяла получить права админа

Брешь в ноутбуках Lenovo ThinkPad и Yoga позволяла получить права админа

У ноутбуков Lenovo обнаружилась серьёзная проблема — возможность повысить права в системе и выполнить команды с привилегиями администратора. Баги кроются в службе ImControllerService, которую можно найти на устройствах линеек ThinkPad и Yoga.

Всего эксперты выявили две уязвимости, получившие идентификаторы CVE-2021-3922 и CVE-2021-3969. Первая — ошибка вида «состояние гонки» (race condition), а вторая — TOCTOU (Time of Check Time of Use).

Версии ImControllerService (System Interface Foundation Service) ниже 1.1.20.3 содержат описанные уязвимости. Эта служба обеспечивает интерфейсом такие важные функции, как управление питанием, оптимизация системы, обновление драйверов и приложений. Именно поэтому пользователям не рекомендуется отключать её.

Об уязвимостях Lenovo узнала от специалистов NCC Group, которые в конце октября 2021 года направили техногиганту соответствующее уведомление. Разработчики устранили баги в середине ноября, однако опубликовали данные о них только сейчас.

Как отметил сам производитель ноутбуков, условные атакующие могут использовать выявленные бреши для повышения прав до уровня SYSTEM и получения полного контроля над целевым устройством.

Проблема кроется в том, как ImControllerService обрабатывает запуск дочерних процессов с высокими правами. Например, уязвимый компонент периодически запускает процессы для выполнения определённых задач, а эти процессы в свою очередь открывают пайп-серверы, к которым может подключиться любой пользователь.

Как отметили исследователи, дочерний процесс не может установить валидность источника соединения, поэтому будет свободно принимать команды от злоумышленника. Команда NCC Group даже разработала демонстрационный эксплойт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Большая часть россиян хотят использовать средства родительского контроля

Согласно опросу, проведённому банком ВТБ в преддверии Международного дня защиты детей, который отмечается 1 июня, 86% респондентов считают необходимым использовать цифровые инструменты для защиты детей от нежелательного контента.

Исследование проводилось в мае 2025 года среди 1500 родителей из городов с населением от 100 тысяч человек и выше.

Судя по результатам опроса, более четверти (27%) участников доверяют уже существующим на рынке инструментам родительского контроля, а 30% используют такие технологии от случая к случаю. Почти столько же — 29% — хотели бы применять цифровые средства защиты, но пока не нашли подходящего решения.

Лишь 14% опрошенных считают, что ответственность за контроль доступа детей к информации должна полностью лежать на родителях. При этом в отдельных регионах этот подход получил более широкую поддержку: так, в Санкт-Петербурге и Ленинградской области его разделяют 22% респондентов, а на Дальнем Востоке — 24%.

Кроме ограничительных функций, пользователи заинтересованы и в расширении возможностей цифровых помощников. 88% респондентов хотят, чтобы такие технологии стали не только фильтрами, но и собеседниками для детей, источниками познавательной информации. В роли воспитателя или репетитора цифровых ассистентов готовы использовать 79% участников опроса.

«Цифровые помощники и ассистенты, способные решать за пользователя широкий круг задач — от поиска до анализа больших объёмов информации — находят всё более широкое применение по всему миру. Мы в ВТБ активно развиваем это направление, видим в нём огромный потенциал для повышения качества и персонализации услуг. Уверен, что в ближайшие годы такие технологии станут неотъемлемой частью жизни клиентов, позволяя принимать быстрые и точные решения в реальном времени. Эти и другие актуальные вопросы мы обсудим на конференции ЦИПР, которая стартует 2 июня в Нижнем Новгороде. Там мы совместно определим будущее цифровых сервисов в финансовой сфере», — прокомментировал Максим Коновалихин, старший вице-президент ВТБ, руководитель департамента анализа данных и моделирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru