ThinkPad指紋辨識擁有一組寫死的密碼,任何人都可以取得管理員權限
聯想指紋管理軟體的漏洞,不只僅以薄弱的演算法加密使用者登入Windows的憑證以及指紋等敏感資料外,軟體還存在一組寫死的密碼,任何人都可以利用這項資訊跳過管理員權限存取系統(圖片來源/聯想)。
聯想在官網警告ThinkPad系列的使用者應盡速更新設備工具軟體Lenovo Fingerprint Manager Pro,以修正指紋辨識的安全性漏洞,受影響型號從安裝Windows 7、8和8.1的ThinkPad筆記型電腦到工作站都有。另外,由於Windows 10原生支援指紋辨識功能,因此用戶不受影響。
聯想提到,聯想指紋管理軟體Lenovo Fingerprint Manager Pro有一安全性漏洞CVE-2017-3762,不只僅以薄弱的演算法加密使用者登入Windows的憑證以及指紋等敏感資料外,軟體還存在一組寫死的密碼,任何人都可以利用這項資訊跳過管理員權限存取系統。
使用者應盡快更新Lenovo Fingerprint Manager Pro到8.01.87或更新版本,而由於Windows 10內建原生的指紋辨識功能,搭載Windows 10的ThinkPad電腦不需要執行Lenovo Fingerprint Manager Pro,所以不受此漏洞影響。
Lenovo Fingerprint Manager Pro是安裝於Windows 7、8和8.1電腦的工具程式,讓使用者可以使用指紋辨識登入電腦、或是取得支援此功能的網站權限。
《全文請見iThome(https://www.ithome.com.tw/news/120976)》