ไม่ว่าคุณจะมีผลิตภัณฑ์อย่าง ThinkCentre, ThinkPad, หรือ ThinkStation ที่ผลิตโดย Lenovo ก็ตาม ก็ควรติดตั้งแพทช์ล่าสุดทันที เพื่อป้องกันการฉวยโอกาสใช้ช่องโหว่ที่ลอดผ่านระบบยืนยันตนด้วยการสแกนนิ้วมือ โดยใช้ตัวรหัสผ่านที่ฮาร์ดโค้ดไว้บนอุปกรณ์แทน
ช่องโหว่ CVE-2017-3762 นี้ ถูกค้นพบโดยเจ้าหน้าที่จาก Security Compass หลังจากพยายามติดตามหาจุดอ่อนของอัลกอริทึมบนยูทิลิตี้ Lenovo Fingerprint Manager Proสำหรับวินโดวส์ 7, 8, และ 8.1 ซึ่งใช้ในการล็อกอินเข้าอุปกรณ์ผ่านเว็บไซต์ที่ตั้งค่าไว้ ด้วยการสแกนรอยนิ้วมือ
ซึ่งยูทิลิตี้นี้ใช้สำหรับจัดเก็บข้อมูลที่หลากหลายมาก รวมถึงรหัสผ่านเข้าวินโดวส์ด้วย ดังนั้น รหัสผ่านที่ถูกฮาร์ดโค้ดไว้ก็สามารถนำมาใช้ข้ามกระบวนการของฟีเจอร์ยืนยันตนผ่านรอยนิ้วมือ หรือแม้แต่ถอดรหัสข้อมูลด้านความปลอดภัยที่เก็บไว้บนอุปกรณ์ได้ด้วย นั่นคือ ผู้ใช้ที่ไม่ได้มีสิทธิ์การเข้าถึงระดับแอดมินก็สามารถล้วงข้อมูลรหัสผ่านสำคัญที่เก็บไว้ในยูทิลิตี้นี้ได้หมด
คาดว่าอุปกรณ์ Lenovo ที่ได้รับผลกระทบจะมีตั้งแต่
– ThinkPad L560
– ThinkPad P40 Yoga, P50s
– ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
– ThinkPad W540, W541, W550s
– ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
– ThinkPad X240, X240s, X250, X260
– ThinkPad Yoga 14 (20FY), Yoga 460
– ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
– ThinkStation E32, P300, P500, P700, P900
ซึ่งผู้ใช้ควรอัพเกรดเป็นรุ่น Fingerprint Manager Pro version 8.01.87 หรือสูงกว่าโดยเร็วที่สุด
ที่มา : hackread