พบช่องโหว่ใน Lenovo Fingerprint มีการเก็บ password hardcode ไว้ใน application
พบช่องโหว่ CVE-2017-3762 ใน Lenovo Fingerprint Manager Pro ที่เป็น version < 8.01.86 ใน Notebook ของ Lenovo โดย Application นั้นมีทั้งเรื่องการเก็บ username, password ของ client ที่ใช้งาน, ข้อมูลลายนิ้วมือของ client มีการเก็บข้อมูลที่ใช้ algorithm ในการเข้ารหัสที่อ่อน และอีกทั้งยังมีการเก็บ password ไว้ใน application อีกด้วย ซึ่งทำให้ user ใดๆสามารถเข้าถึงระบบได้ไม่ยาก
ทาง Lenovo ได้ออก patch แก้ไขแล้ว หากใครใช้งาน Notebook Lenovo อยู่ก็อย่าลืม update Lenovo Fingerprint Manager ให้กลายเป็น version ล่าสุดด้วยนะครับ
Source:: MITRE