Lenovo исправила уязвимость в приложении сканера отпечатков пальцев

image

Теги: сканер, отпечаток пальца, Lenovo, уязвимость

Уязвимость позволяет злоумышленнику использовать неизменяемый пароль для обхода аутентификации по отпечатку пальца.

Компания Lenovo выпустила обновления безопасности для приложения сканера отпечатков пальцев, которое поставляется с ноутбуками и компьютерами моделей ThinkPad, ThinkCentre и ThinkStation.

Уязвимость (CVE-2017-3762) затрагивает приложение Fingerprint Manager Pro, позволяющее пользователям авторизоваться на компьютерах под управлением ОС Windows и online-сайтах путем сканирования отпечатка пальца, с помощью встроенного в устройства сканера.

«Важные данные, хранящиеся в Lenovo Fingerprint Manager Pro, включая учетные данные для входа в систему Windows и данные об отпечатке пальца, зашифрованы с использованием ненадежного алгоритма. Приложение также содержит неизменяемый пароль, доступный всем пользователям с локальным неадминистративным доступом к системе», - следует из заявления компании.

Уязвимость позволяет злоумышленнику использовать вшитый пароль для обхода аутентификации по отпечатку пальца и расшифровки существующих учетных данных для входа в систему Windows.

Проблема была исправлена с выходом версии Lenovo Fingerprint Manager Pro 8.01.87 для Windows 7, 8 и 8.1.

Полный список уязвимых устройств:

  • ThinkPad L560;
  • ThinkPad P40 Yoga, P50s;
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560;
  • ThinkPad W540, W541, W550s;
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT);
  • ThinkPad X240, X240s, X250, X260;
  • ThinkPad Yoga 14 (20FY), Yoga 460;
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z;
  • ThinkStation E32, P300, P500, P700, P900.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.