В нeкoтoрыx нoутбукax oт Lenovo oбнaружeнa нeдoстaтoчнaя зaщищённoсть фирмeннoй утилиты Lenovo Fingerprint Manager Pro, oднaкo кoмпaния ужe ликвидирoвaлa этoт прoбeл с пoмoщью выпущенного ею исправляющего патча.
Компания Lenovo сделала официальное заявление, согласно которому в Fingerprint Manager Pro версии 8.01.86 и ниже имеется уязвимость CVE-2017-3762, благодаря которой злоумышленники способны с помощью запрограммированного пароля обойтись без идентификации пользователя на основе дактилоскопического сенсора. Это ПО для Windows 7, 8 и 8.1, с помощью которого отпечаток пальца может быть использован для авторизации в ОС Windows и на целом ряде сайтов.
Помимо этого, с помощью программы, работающей с дактилоскопическим датчиком, можно раскрыть не только учётные данные пользователя, но и данные о самом отпечатке пальца. И всё потому, что у Fingerprint Manager Pro слишком слабые шифровальные алгоритмы. Правда, эту уязвимость удастся использовать лишь при локальном доступе к устройству, а это несколько снижает опасность использования её злоумышленниками.
Характерно, что Windows 10 это не коснулось, так как в данную версию операционной системы уже встроены возможности, позволяющие работать со сканером отпечатков пальцев.
Согласно рекомендации Lenovo, стоит как можно скорее провести на указанных в списке устройствах обновление утилиты Fingerprint Manager Pro до версии 8.01.87, доступное для скачивания на официальном сайте компании:
— ThinkPad L560;
— ThinkPad P40 Yoga, P50s;
— ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560;
— ThinkPad W540, W541, W550s;
— ThinkPad X1 Carbon (20A7, 20A8), X1 Carbon (20BS, 20BT);
— ThinkPad X240, X240s, X250, X260;
— ThinkPad Yoga 14 (20FY), Yoga 460;
— ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z;
— ThinkStation E32, P300, P500, P700, P900.
Источник: Lenovo