Lenovo 安全公告:LEN-4292
潜在影响:可能导致不需要的数据输入
严重性:低
摘要:
未经授权的攻击者可能通过 Lenovo 500 无线键盘或鼠标接收器进行键盘输入。
描述:
发现一处漏洞:处于系统物理临近区域内的攻击者可以利用专门设备,通过所安装的 Lenovo 500 无线键盘或鼠标接收器对用户的系统进行键盘输入(如击键)。
由于存在这一漏洞,合法用户通过 Lenovo 500 无线键盘的输入仍保持加密状态,而通过 Lenovo 500 无线键盘输入的纯文本击键则无法进行无线读取。
解决方案:
应采取哪些措施进行自我保护:
Lenovo 已发布更新的固件,用以缓解全新 Lenovo 500 无线键盘及鼠标中出现的这一问题。该固件只有制造时才能安装。该固件版本可通过产品版本号进行追踪,产品版本号位于设备底部的不干胶标签上。
受影响的键盘版本:不干胶标签右下角未印有版本号
已修复的键盘版本:不干胶标签右下角印有“Version 1.1”字样
受影响的鼠标版本:不干胶标签右下角未印有版本号
已修复的鼠标版本:不干胶标签右下角印有“Version 1.1”字样
如有意将其现有的 Lenovo 500 无线键盘或鼠标更换为具有新固件版本的键盘或鼠标,可以联系 Lenovo 支持中心,支持中心已经注意到这一问题,并随时受理更换。Lenovo 非常感谢受影响客户的耐心。公司将尽最大努力,认真、高效地处理所有请求。
产品影响:
FRU PN | 名称 |
5M50K36438 | Lenovo 500 无线鼠标(黑色) |
5M50K36439 | Lenovo 500 无线鼠标(银色) |
5M50K36440 | Lenovo 500 无线鼠标(橙色) |
5M50K36441 | Lenovo 500 无线鼠标(蓝色) |
5D50K36442 | Lenovo 500 无线键盘组合 |
致谢:
感谢来自 Bastille 威胁研究团队的 Marc Newlin
修订历史:
版本 | 日期 | 描述 |
1.1 | 02/24/2016 | 添加了鼠标 FRU 信息 |
1.0 | 02/23/2016 | 初始版本 |