联想在公告中解释说, 联想指纹扫描管理软件Fingerprint Manager Pro会存储一些敏感数据, 包括Windows登陆凭证和指纹数据, 但使用的是弱算法加密, 其中包含一个硬编码密码, 只要安装这个指纹扫描管理软件, 即便没有管理员访问权限, 也可以让任何人可以登陆系统.
该漏洞影响ThinkPad, ThinkCentre, ThinkStation三大系列接近40款不同型号的产品, 具体如下:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (20A7/20A8), X1 Carbon (20BS/20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14(20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
操作系统波及Windows 7, Windows 8, Windows 8.1 32/64位版, Windows 10因为已经原生支持指纹读取, 不再需要配套软件, 所以不受影响.
最新的Fingerprint Manager Pro 8.01.87版本软件已经修复此漏洞, 建议联想用户赶紧下载升级.