พบช่องโหว่บนโน๊ตบุ๊ค Lenovo เกือบ 40 รุ่นเสี่ยงถูกบายพาสระบบสแกนลายนิ้วมือ

Jackson Thuraisamy นักวิจัยด้านความมั่นคงปลอดภัยจาก Security Compass ออกมาแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Fingerprint Manager Pro ของโน๊ตบุ๊ค Lenovo เกือบ 40 รุ่น ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลล็อกอินและบายพาสระบบสแกนลายนิ้วมือได้

Credit: ShutterStock.com

ช่องโหว่นี้ค้นพบบนซอฟต์แวร์​ Fingerprint Manager Pro ที่รันอยู่บน Windows 7, 8 และ 8.1 ซึ่งเป็นซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถล็อกอินเข้าคอมพิวเตอร์ผ่านทางการสแกนลายนิ้วมือตนเองได้ นอกจากนี้ซอฟต์แวร์ดังกล่าวยังใช้เก็บข้อมูลล็อกอิน Windows, เว็บไซต์ และอื่นๆ อีกด้วย

จากการตรวจสอบพบว่า ข้อมูลล็อกอินที่เก็บอยู่ใน Fingerprint Manager Pro เวอร์ชัน 8.01.86 และเวอร์ชันก่อนหน้ามีการเข้ารหัสข้อมูลที่ไม่แข็งแกร่งเพียงพอ และมีช่องโหว่ Hard-coded Password (รหัส CVE-2017-3762) ซึ่งช่วยให้ใครก็ตามสามารถเข้าถึงข้อมูลภายในได้โดยไม่จำเป็นต้องมีสิทธิ์เป็น Admin

ช่องโหว่นี้ส่งผลกระทบบนโน๊ตบุ๊คของ Lenovo ไม่ว่าจะเป็น ThinkPad, ThinkCentre และ ThinkStation รวมแล้วเกือบ 40 รุ่น ดังนี้

  • ThinkPad L560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad W540, W541, W550s
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkStation E32, P300, P500, P700, P900

Thuraisamy ได้รายงานช่องโหว่ที่ค้นพบไปยัง Lenovo ซึ่งก็ได้ออกแพตช์เวอร์ชัน 8.01.87 สำหรับแก้ไขปัญหาเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตแพตช์โดยเร็ว

รายละเอียดเชิงเทคนิค: https://support.lenovo.com/in/en/product_security/len-15999

ที่มา: https://thehackernews.com/2018/01/lenovo-fingerprint.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Microsoft เพิ่ม Container Images สำเร็จรูปบน Azure Marketplace แล้ว

Microsoft เพิ่ม Container Images สำเร็จรูปลงใน Azure Marketplace เป็นที่เรียบร้อยแล้ว เริ่มต้นใช้งานได้ทันที