联想指纹管理软件的漏洞,不只仅以薄弱的算法加密使用者登入Windows的凭证以及指纹等敏感数据外,软件还存在一组写死的密码,任何人都可以利用这项信息跳过管理员权限存取系统。
联想在官网警告ThinkPad系列的使用者应尽速更新设备工具软件Lenovo Fingerprint Manager Pro,以修正指纹识别的安全性漏洞,受影响型号从安装Windows 7、8和8.1的ThinkPad笔记型电脑到工作站都有。另外,由于Windows 10原生支持指纹辨识功能,因此用户不受影响。
联想提到,联想指纹管理软件Lenovo Fingerprint Manager Pro有一安全性漏洞CVE-2017-3762,不只仅以薄弱的算法加密使用者登入Windows的凭证以及指纹等敏感数据外,软件还存在一组写死的密码,任何人都可以利用这项信息跳过管理员权限存取系统。
使用者应尽快更新Lenovo Fingerprint Manager Pro到8.01.87或更新版本,而由于Windows 10内置原生的指纹辨识功能,搭载Windows 10的ThinkPad电脑不需要执行Lenovo Fingerprint Manager Pro,所以不受此漏洞影响。
Lenovo Fingerprint Manager Pro是安装于Windows 7、8和8.1电脑的工具程序,让使用者可以使用指纹辨识登入电脑、或是取得支持此功能的网站权限。
可能安装Lenovo Fingerprint Manager Pro的电脑型号如下:
ThinkPad L560
ThinkPad P40 Yoga、P50s
ThinkPad T440、T440p、T440s、T450、T450s、T460、T540p、T550、T560
ThinkPad W540、W541、W550s
ThinkPad X1 Carbon(Type 20A7、20A8)、X1 Carbon(Type 20BS、20BT)
ThinkPad X240、X240s、X250、X260
ThinkPad Yoga 14(20FY)、Yoga 460
ThinkCentre M73、M73z、M78、M79、M83、M93、M93p、M93z
ThinkStation E32、P300、P500、P700、P900
,
