聯想修正了一個指紋管理系統中的影響了十幾個運行 Windows 7、8和 8.1 OS的筆記本電腦的硬編碼的密碼漏洞。
PC供應商聯想已經修復了一個硬編碼的密碼漏洞, 漏洞號 (CVE-2017-3762), 影響了十幾個運行Windows 7、8和8.1 作業系統的聯想筆記本電腦。
運行 Windows 10 的聯想筆記本電腦不受該漏洞的影響, 因為該作業系統版本本身支持指紋讀取器。
受影響的設備包括 ThinkPad、ThinkCentre 和 ThinkStation 筆記本電腦。
聯想指紋管理專家(Lenovo Fingerprint Manager Pro)中發現了一個漏洞。由其存儲的敏感數據, 包括用戶的 Windows 登錄憑據和指紋數據, 使用弱算法加密, 包含硬編碼的密碼,並可供所有具有本地非管理訪問權限的用戶訪問它所安裝的系統。
LenovoFingerprint Manager Pro一個應用程式, 允許用戶使用指紋憑證登錄到他們的筆記本電腦和配置的網站。
該缺陷駐留在聯想指紋管理器 Pro 中, 它使用弱算法對敏感數據(如指紋數據和登錄憑證) 進行加密。
根據聯想披露的細節,Fingerprint Manager包含了一個硬編碼寫死的密碼,用於訪問本地非管理員用戶。此外,該應用還會存儲諸如Windows登陸憑證以及使用「糟糕算法加密」的指紋數據。
需要更新聯想指紋管理器 Pro 版本的筆記本電腦的完整列表是:
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s,T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93,M93p, M93z
ThinkStation E32, P300, P500, P700, P900
受影響設備用戶推薦儘快安裝8.01.87之後版本 。