Брешь в ноутбуках Lenovo ThinkPad и Yoga позволяла получить права админа

Екатерина Быстрова 17 Декабря 2021 - 14:32

...

Брешь в ноутбуках Lenovo ThinkPad и Yoga позволяла получить права админа

У ноутбуков Lenovo обнаружилась серьёзная проблема — возможность повысить права в системе и выполнить команды с привилегиями администратора. Баги кроются в службе ImControllerService, которую можно найти на устройствах линеек ThinkPad и Yoga.

Всего эксперты выявили две уязвимости, получившие идентификаторы CVE-2021-3922 и CVE-2021-3969. Первая — ошибка вида «состояние гонки» (race condition), а вторая — TOCTOU (Time of Check Time of Use).

Версии ImControllerService (System Interface Foundation Service) ниже 1.1.20.3 содержат описанные уязвимости. Эта служба обеспечивает интерфейсом такие важные функции, как управление питанием, оптимизация системы, обновление драйверов и приложений. Именно поэтому пользователям не рекомендуется отключать её.

Об уязвимостях Lenovo узнала от специалистов NCC Group, которые в конце октября 2021 года направили техногиганту соответствующее уведомление. Разработчики устранили баги в середине ноября, однако опубликовали данные о них только сейчас.

Как отметил сам производитель ноутбуков, условные атакующие могут использовать выявленные бреши для повышения прав до уровня SYSTEM и получения полного контроля над целевым устройством.

Проблема кроется в том, как ImControllerService обрабатывает запуск дочерних процессов с высокими правами. Например, уязвимый компонент периодически запускает процессы для выполнения определённых задач, а эти процессы в свою очередь открывают пайп-серверы, к которым может подключиться любой пользователь.

Как отметили исследователи, дочерний процесс не может установить валидность источника соединения, поэтому будет свободно принимать команды от злоумышленника. Команда NCC Group даже разработала демонстрационный эксплойт.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 10:19

GenAI (генеративный искусственный интеллект) Общее

ИИ экономит 11 часов в неделю, но 6 из них уходят на присмотр за ботом

Искусственный интеллект попал в неудобную статистику. Новое исследование Work AI Institute показало, что сотрудники действительно экономят время благодаря ИИ — в среднем около 11 часов в неделю. Но есть нюанс: более шести часов из этой экономии приходится тратить на проверку, исправление и контроль работы самого ИИ.

Исследование охватило 6000 офисных сотрудников из США, Великобритании и Австралии.

Опрос показал, что 75% работников заметили рост личной продуктивности после внедрения ИИ-инструментов. Однако только 13% компаний сообщили о заметном росте бизнеса благодаря этим технологиям.

Получается любопытный парадокс. Формально сотрудники работают быстрее, но бизнес почему-то не получает сопоставимой выгоды.

По словам профессора Калифорнийского университета Пола Леонарди, многие недооценивают объём скрытой работы, которая появляется вместе с ИИ. Нужно собирать данные, подготавливать контекст, перепроверять ответы чат-ботов, искать ошибки и дорабатывать результаты вручную.

Фактически современные сотрудники всё чаще выступают не исполнителями, а менеджерами собственных цифровых помощников.

Согласно исследованию, 37% времени взаимодействия с ИИ уходит непосредственно на работу с ботами, а ещё 36% — на применение полученных результатов в реальных задачах. Более того, 41% опрошенных признались, что не могут объяснить, каким образом ИИ пришёл к своим выводам.

Авторы приводят показательный пример. Молодой разработчик перед уходом домой интегрировал в проект тысячи строк кода, сгенерированного ИИ. После этого система перестала работать, а разбираться в причинах пришлось старшему инженеру. Сам автор изменений не смог объяснить, что именно сделал искусственный интеллект.