Lenovoは25日(米国時間)、同社製ノートPCの一部に搭載された指紋認証ソフトウェア「Lenovo Fingerprint Manager Pro」に脆弱性が存在すると発表した。

同ソフトでは、ユーザーのWindowsログイン情報、指紋認証データが脆弱なアルゴリズムで暗号化され、管理者以外のローカルユーザー権限でシステムにアクセスできるという。脆弱性のCVE識別番号はCVE-2017-3762。

Lenovoが対象として挙げている製品は、下記36機種のWindows 7、8、8.1搭載モデル。同社は問題を修正したFingerprint Manager Pro(バージョン 8.01.87およびこれ以降)を提供しており、アップデートすることで解決する。なお、同社は29日(米国時間)、Windows 10搭載モデルではMicrosoftの指紋認証センサーを使用しているため、影響はないと追記した。

  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900
  • Lenovoの告知文