Lenovoは2018年1月25日(米国時間)、「Lenovo Fingerprint Manager Pro for Windows 7, 8, and 8.1 only (not 10) Insecure Credential Storage」において、Lenovoの複数のPCに搭載された指紋認証マネージャー「Lenovo Fingerprint Manager Pro」に脆弱性が存在していると伝えた。
ユーザーのアカウントデータや指紋データなどの扱いにおいて弱い暗号アルゴリズムを使用していたこと、ハードコードされたパスワードを保持していたこと、管理者権限を持たない一般のローカルユーザーがこうしたデータにアクセスできる状態になっていたと説明している。
Lenovo Fingerprint Manager ProはWindows 7、Windows 8、Windows 8.1向けのユーティリティ。Windows 10ではデフォルトの指紋読み込みシステムが使われているため、Lenovo Fingerprint Manager Proは使われていない。
今回発表された脆弱性の影響を受けると見られるプロダクトは次のとおり。
- ThinkPad L560
- ThinkPad P40 Yoga、P50s
- ThinkPad T440、T440p、T440s、T450、T450s、T460、T540p、T550、T560
- ThinkPad W540、W541、W550s
- ThinkPad X1 Carbon (Type 20A7、20A8)、X1 Carbon (Type 20BS、20BT)
- ThinkPad X240、X240s、X250、X260
- ThinkPad Yoga 14 (20FY)、Yoga 460
- ThinkCentre M73、M73z、M78、M79、M83、M93、M93p、M93z
- ThinkStation E32、P300、P500、P700、P900
Lenovoは2018年1月29日(米国時間)に発表内容を更新しており、Windows 10を搭載したモデルは今回の脆弱性の影響を受けないとしている。この脆弱性の重要度は高(High)に位置づけられている。該当するプロダクトを使用している場合は問題が修正されたFingerprint Manager Pro version 8.01.87またはこれ以降のバージョンにアップグレードすることが推奨される。