ThinkPad指紋辨識擁有一組寫死的密碼,任何人都可以取得管理員權限
聯想在官網警告ThinkPad系列的使用者應盡速更新設備工具軟體Lenovo Fingerprint Manager Pro,以修正指紋辨識的安全性漏洞,受影響型號從安裝Windows 7、8和8.1的ThinkPad筆記型電腦到工作站都有。另外,由於Windows 10原生支援指紋辨識功能,因此用戶不受影響。
聯想提到,聯想指紋管理軟體Lenovo Fingerprint Manager Pro有一安全性漏洞CVE-2017-3762,不只僅以薄弱的演算法加密使用者登入Windows的憑證以及指紋等敏感資料外,軟體還存在一組寫死的密碼,任何人都可以利用這項資訊跳過管理員權限存取系統。
使用者應盡快更新Lenovo Fingerprint Manager Pro到8.01.87或更新版本,而由於Windows 10內建原生的指紋辨識功能,搭載Windows 10的ThinkPad電腦不需要執行Lenovo Fingerprint Manager Pro,所以不受此漏洞影響。
Lenovo Fingerprint Manager Pro是安裝於Windows 7、8和8.1電腦的工具程式,讓使用者可以使用指紋辨識登入電腦、或是取得支援此功能的網站權限。
可能安裝Lenovo Fingerprint Manager Pro的電腦型號如下:
ThinkPad L560
ThinkPad P40 Yoga、P50s
ThinkPad T440、T440p、T440s、T450、T450s、T460、T540p、T550、T560
ThinkPad W540、W541、W550s
ThinkPad X1 Carbon(Type 20A7、20A8)、X1 Carbon(Type 20BS、20BT)
ThinkPad X240、X240s、X250、X260
ThinkPad Yoga 14(20FY)、Yoga 460
ThinkCentre M73、M73z、M78、M79、M83、M93、M93p、M93z
ThinkStation E32、P300、P500、P700、P900
聯想電腦軟體曝安全漏洞 官方急推更新
電腦大廠聯想(Lenovo)證實旗下多款ThinkPad、ThinkCentre、ThinkStation電腦系統的指紋管理軟體存在一個嚴重安全漏洞,已緊急釋出軟體更新解決。
根據聯想技術支援網頁說明,被發現存在安全漏洞的Fingerprint Manager Pro軟體用於儲存敏感數據,包括Windows登入憑證和指紋數據,卻使用強度較低的演算法以加密數據,即使沒管理者權限的用戶也可能登入系統。
聯想表示,Fingerprint Manager Pro用於Windows7、Windows 8、Windows 8.1作業系統,讓用戶能透過指紋辨識功能登入系統;聯想建議用戶升級到Fingerprint Manager Pro 8.01.87以上版本,即可修復安全漏洞。
科技網站Windows Central指出,搭載Windows 10作業系統的電腦因內建Windows Hello生物辨識登入功能,應不受這項軟體漏洞影響。
