Lenovo 安全公告：LEN-2015-017

潜在影响：权限提升

重要性：中

摘要：

Lenovo Fingerprint Manager 存在一个本地权限提升漏洞。无法通过远程方式利用该漏洞。登录到 PC 的本地用户可能会使用管理员权限运行可执行文件，从而提升其权限。

描述：

Lenovo Fingerprint Manager 软件存在一个已知问题：由于 Lenovo Fingerprint Manager 应用程序中的服务和文件上的访问控制列表不安全和不正确，恶意用户可能会使本地检查失效。

应采取哪些措施进行自我保护：

您可以通过多种方式进行自我保护。 Lenovo 建议您采取以下某个步骤：

自 2015 年 4 月 15 日起，运行 Lenovo System Update 并安装建议的 Fingerprint Manager 软件更新

确保已在计算机上安装软件的最新版本。可解决该问题的最低 Fingerprint Manager 版本是 8.01.42 或更高版本。可在 https://support.lenovo.com/downloads/ds034486 中找到该软件的最新版本。

或者，如果您并未使用 Fingerprint Manager，可采用以下步骤卸载该软件：

1、打开“控制面板” ；

2、单击“程序” ；

3、单击“卸载程序” ；

4、在已安装程序列表中，找到“Fingerprint Manager”，然后单击“卸载”按钮。

产品影响：

以下产品可能会受到影响：

ThinkCentre E32

ThinkCentre E79

ThinkCentre M73、M73z

ThinkCentre M78

ThinkCentre M79

ThinkCentre M83

ThinkCentre M93、M93p、M93z

ThinkPad T440、T440p、T440s、T450、T450s

ThinkPad T540、T540p、T550

ThinkPad W540、W541、W550、W550s

ThinkPad X1 Carbon 系列

ThinkPad X240、X240s、X250

ThinkStation P300

要确定您是否已受到影响，请打开“控制面板”并转到“添加/删除程序”。如果您运行的是早于 8.01.42 的版本，请采用“缓解策略”部分中的步骤，更新到 Fingerprint Manager 的最新版本。

备注:

致谢：

Lenovo 谨此对报告此问题的萨斯喀彻温大学的 Jon Coller 表示感谢。

其他信息和参考资料：

CVE ID：CVE-2015-3321

修订历史：