漏洞背景

近日，联想官方发布安全公告，表示旗下笔记本电脑系统中内置软件Fingerprint Manager Pro存在不安全信息存储漏洞，可导致本地非管理员用户访问到windows用户凭证和指纹数据。

Lenovo Fingerprint Manager Pro 是一款Windows 7，8和8.1的指纹管理工具，允许用户通过指纹识别，登录到自己的PC或对配置的网站进行身份验证。其中产品使用弱加密算法加密的用户登录凭证，指纹数据和硬编码的密码，攻击者可能可以利用该漏洞进行本地提权攻击。

此安全漏洞由安全研究员Jackson Thuraisamy提交，CVE编号为CVE-2017-3762。

360CERT建议相关用户尽快按照联想提供的解决方案进行更新处理。

漏洞影响面

根据联想官网公布的信息，以下安装了Fingerprint Manager Pro 9个系列的联想设备都会受到此次漏洞的影响

• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900

安全建议

将Fingerprint Manager Pro升级到8.01.87或以后的版本：

https://pcsupport.lenovo.com/downloads/ds034486

时间线

2018-1-25 联想发布安全公告

2018-1-29 360CERT发布预警公告

参考链接

联想官方公告https://support.lenovo.com/us/zh/product_security/len-15999