Lenovoは1月25日、ThinkPadの一部に導入されている「Lenovo 指紋認証マネージャー Pro」に脆弱性があると発表した。最新バージョンへの更新を呼びかけている。
旧バージョンは、Windowsログインや指紋データを弱い暗号化方式で暗号化してデータに保存しており、そのデータは管理者権限がなくともアクセスできてしまう問題があった。これを最新の8.01.87以降にアップデートすることで解消できる。
ただし、影響を受けるのはWindows 7/8/8.1を利用している場合のみで、Windows 10をインストールした場合、ビルトインの指紋機能を使うためこの影響を受けないとしている。
対象の機種は下記のモデルのなかでLenovo指紋認証マネージャー Proがインストールされたものとなる(日本未発売モデルを含む)。
・ThinkPad L560
・ThinkPad P40 Yoga/P50s
・ThinkPad T440/T440p/T440s/T450/T450s/T460/T540p/T550/T560
・ThinkPad W540/W541/W550s
・ThinkPad X1 Carbon (Type 20A7/20A8)/X1 Carbon (Type 20BS/20BT)
・ThinkPad X240/X240s/X250/X260
・ThinkPad Yoga 14 (20FY)/Yoga 460
・ThinkCentre M73/M73z/M78/M79/M83/M93/M93p/M93z
・ThinkStation E32/P300/P500/P700/P900
この問題はSecurity CompassのJackson Thuraisamy氏によって発見された。共通脆弱性識別子は「CVE-2017-3762」。
https://pc.watch.impress.co.jp/docs/news/1103694.html
