Lenovo 安全公告：LEN-4282

潜在影响：越权漏洞

严重性：中

摘要：

Lenovo Fingerprint Manger 和 Lenovo Touch Fingerprint Software 存在本地越权漏洞。无法通过远程方式利用该漏洞。登录到 PC 的本地用户可能会使用管理员权限运行可执行文件，从而提升其权限。

描述：

Lenovo Fingerprint Manager 和 Lenovo Touch Fingerprint Software 存在一个已知问题：恶意用户可能会利用上述应用程序中的服务和文件内不安全和错误的访问控制列表，来绕过本地检查。

应采取哪些措施进行自我保护：

您可以通过多种方式进行自我保护。Lenovo 建议您采取以下某个步骤：

自 2016 年 3 月 18 日开始，运行 Lenovo System Update 并安装推荐的 Fingerprint Manager 或 Lenovo Touch Fingerprint Software 更新。

请确保您的计算机已安装上述软件的最新版本。

可解决该问题的最低 Fingerprint Manager 版本是 8.01.57 或更高版本。您可点击此处上找到上述软件的最新版本。

可解决该问题的 Lenovo Touch Fingerprint Software 最低版本是 1.00.08 或更高版本。您可点击此处上找到上述软件的最新版本。

此外，您还可以按照以下步骤卸载该软件：

1、打开“控制面板”；

2、单击“程序”；

3、单击“卸载程序”；

4、在已安装程序列表中找到“Fingerprint Manager”或“Lenovo Touch Fingerprint Software”，然后单击“卸载”按钮。

产品影响：

以下产品可能安装了 Fingerprint Manager：

ThinkPad L560

ThinkPad P40 Yoga

ThinkPad T440、T440p、T440s、T450、T450s、T460、T540p、T550 和 T560

ThinkPad W540、W541、W550s

ThinkPad X1 Carbon（机器类型：20A7 和 20A8）、X1 Carbon（机器类型：20BS 和 20BT）

ThinkPad X240、X240s、X250 和 X260

ThinkPad Yoga 14（20FY）和 Yoga 460

ThinkCentre M73、M73z、M78、M79、M83、M93、M93p 和 M93z

ThinkStation E32、P300、P500、P700 和 P900

要确定您是否已受到影响，请打开“控制面板”并转到“添加/删除程序”。如果您运行的是早于 8.01.57 的版本，请采用“缓解策略”部分中的步骤，更新到 Fingerprint Manager 的最新版本。

以下产品可能安装了 Lenovo Touch Fingerprint Software：

ThinkPad P50 和 P70

ThinkPad T460p 和 T460s

ThinkPad X1 Carbon（机器类型：20FB 和 20FC）和 X1 Yoga

ThinkPad Yoga 260

要确定您是否已受到影响，请打开“控制面板”并转到“添加/删除程序”。如果您运行的是早于 1.00.08 的版本，请采用“缓解策略”部分中的步骤，更新到 Fingerprint Manager 的最新版本。

其他信息和参考资料：

CVE ID：CVE-2016-2393

修订历史：