Инженеры Lenovo выпустили экстренное обновление для приложения-сканера отпечатков пальцев, Fingerprint Manager Pro, которое работает с устройствами ThinkPad, ThinkCentre и ThinkStation.
Приложение Fingerprint Manager Pro предназначено для операционных систем Windows 7, 8 и 8.1 и позволяет владельцам устройств Lenovo использовать отпечаток пальца вместо логина и пароля (сами учетные данных хранятся в приложении), осуществляя таким образом вход в ОС или аутентификацию на различных сайтах.
Согласно официальному сообщению компании, Fingerprint Manager Pro версии 8.01.86 и ниже содержит уязвимость, получившую идентификатор CVE-2017-3762. По сути, приложение имеет жестко закодированный пароль и использует слабый алгоритм шифрования, что позволяет любому локальному атакующему получить доступ ко всем данным. Проблема проявляется в следующих моделях:
- ThinkPad L560;
- ThinkPad P40 Yoga, P50s;
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560;
- ThinkPad W540, W541, W550s;
- ThinkPad X1 Carbon (20A7, 20A8), X1 Carbon (20BS, 20BT);
- ThinkPad X240, X240s, X250, X260;
- ThinkPad Yoga 14 (20FY), Yoga 460;
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z;
- ThinkStation E32, P300, P500, P700, P900.
Всем владельцам уязвимых устройств рекомендуется как можно быстрее обновить Fingerprint Manager Pro до версии 8.01.87. При этом разработчики отдельно отмечают, что пользователи Windows 10 находятся вне опасности, так как во всех версиях «Десятки» используется собственное дактилоскопическое приложение-сканер, созданное Microsoft.