筆記型電腦龍頭生產商之一 Lenovo 日前釋出把密碼寫死的漏洞,影響 ThinkPad、ThinkCentre 和 ThinkStation 使用 Windows 7、8 和 8.1 操作系統的筆記型電腦,總數達到數十款之多,受影響型號內的受保護資料可以被非管理員權限的第三者存取。
第三者能自由存取受保護資料
根據 CVE-2017-3762 的資料,用戶如果把敏感資料儲存在 Lenovo Fingerprint Manager Pro 8.01.86 或以前的版本,包括 Windows 登入權限和指紋資料只由弱的加密保護,而且含有寫死式的密碼,任何人士即使持有裝置的非管理員權限都能夠自由存取。
更新堵塞漏洞
用戶只要把 Lenovo Fingerprint Manager Pro 更新至 8.01.87 或以上,而 使用 Windows 10 的Lenovo 裝置則不受這次的漏洞影響, 受影響的型號請參考以下名單:
– ThinkPad L560
– ThinkPad P40 Yoga, P50s
– ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
– ThinkPad W540, W541, W550s
– ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
– ThinkPad X240, X240s, X250, X260
– ThinkPad Yoga 14 (20FY), Yoga 460
– ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
– ThinkStation E32, P300, P500, P700, P900
資料來源:Threat Post