Mehrere Lücken in Lenovos biometrischem Passwort-Manager

Die Zugangs-Software Fingerprint Manager Pro für Notebooks und Business-PCs von Lenovo enthält gleich mehrere Schwachstellen. Der PC-Hersteller empfiehlt Anwendern, umgehend auf Version 8.01.87 oder neuer zu aktualisieren. Frühere Versionen der Software speichern Zugangsdaten für Webseiten, das Windows-Benutzerpasswort sowie Fingerabdrücke nur schlecht geschützt mit einem schwachen Verschlüsselungsalgorithmus. Zudem enthält der Fingerprint Manager Pro ein hartkodiertes Passwort, obendrein waren die Daten für alle Benutzer des Rechners auch ohne Administratorrechte zugänglich.

Betroffen sind mehrere Thinkpad-Notebooks, Business-PCs der Serie ThinkCentre sowie ThinkStation-Workstations, auf denen Windows 7, 8 und Windows 8.1 läuft. Auf Geräte mit Windows 10 trifft die Sicherheitslücke nicht zu, weil diese die in Windows 10 integrierte biometrische Authentifizierung Windows Hello verwendet, die mit Fingerabdrucksensoren und 3D-Kameras umgehen kann.

Liste betroffener Geräte:

  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900
2018-01-27T18:10:05+00:00