日前，安全指南针（Security Compass）高级安全顾问Jackson Thuraisamy发现联想的指纹扫描管理软件Lenovo Fingerprint Manager Pro存在一个严重的安全漏洞，涉及到ThinkPad系列的多款机型。

该漏洞允许他人绕过指纹扫描器，利用一个硬编码密码对系统进行访问。同时，它还会暴露了用户的登录凭证和指纹数据。

联想对此发布了声明，公布了漏洞的原理以及应对措施。声明称：

“联想指纹扫描管理软件Lenovo Fingerprint Manager Pro会存储一些敏感数据，包括Windows登陆凭证和指纹数据，但是使用的是弱算法加密，其中包含了一个硬编码密码。只要安装了这个指纹扫描管理软件，即便没有管理员访问权限，其他用户也可以访问系统。

Lenovo Fingerprint Manager Pro是Windows 7, 8和8.1的实用工具，允许用户登录到自己的PC或通过指纹识别对配置的网站进行身份验证。”

而由于Windows 10原生支持指纹读取器，无需Lenovo Fingerprint Manager Pro运行，所以搭载该操作系统的设备应该不会受到影响。

该漏洞可能会影响到近40款ThinkPad、ThinkCentre及ThinkStation系列设备，联想也在声明中公布了型号名单。

联想公司建议仍在使用Lenovo Fingerprint Manager Pro 的用户尽快更新软件至8.01.87及更新版本，以避免额外风险。

还在使用旧机型和操作系统的ThinkPad用户，可以点击下方链接了解相关信息和下载补丁。紧急止损，避免风险。

Lenovo Fingerprint Manager Pro for Windows 7, 8, and 8.1 only (not 10) Insecure Credential Storage