In Lenovo Fingerprint Manager Pro wurde vom Unternehmen eine Schwachstelle mit hohem Schweregrad identifiziert und behoben, die es jedem mit physischem Zugriff auf den Laptop ermöglichte, Anmeldeinformationen und andere sensible Daten eines Benutzers zu erhalten.
Fingerprint Manager Pro ist eine Software, die auf Windows-Betriebssystemen mit ThinkPad-, ThinkStation- und ThinkCentre-Maschinen vorinstalliert ist. Es hilft, die Benutzer zu authentifizieren und sich mit dem Fingerabdruck an ihren PCs anzumelden, anstatt Passwörter manuell einzugeben.
Das Auftreten der Sicherheitsanfälligkeit ist auf einen Fehler im Verschlüsselungsalgorithmus der Windows-Anmeldeinformationen zurückzuführen, der ein hartcodiertes Passwort verwendet. Daher kann jeder mit lokalem, nicht administrativem Zugriff auf das System darauf zugreifen.
Die Liste der betroffenen Produkte, auf denen Windows 7, 8 und 8.1 ausgeführt wird, umfasst:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440, T450, T450, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Typ 20A7, 20A8), X1 Carbon (Typ 20BS, 20BT)
- ThinkPad X240, X240, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Lenovo hat die Schwachstelle jedoch behoben und am 25. Januar einen Patch veröffentlicht. Das Unternehmen versichert auch, dass Windows 10-Modelle nicht betroffen sind, da diese Systeme die integrierte Unterstützung für Fingerabdruckleser von Microsoft verwenden.
