在用户可读的位置存储的Lenovo Connect2临时Wi-Fi网络密钥 分类:小新系列 问题:漏洞与防护 故障现象: Lenovo 安全公告:LEN-14398 潜在影响:泄露在用户可读的位置存储的临时 Wi-Fi 网络密钥 严重性:中 影响范围:Lenovo 特有的产品 CVE ID:CVE-2017-3742 摘要描述: 一次内部评估发现,Lenovo Connect2 在两个系统间建立临时连接以共享文件时存在一个漏洞。该临时连接的密码存储在一个用户可读的位置。两个系统间进行文件传输时,拥有用户内容读取权限的攻击者可连接到 Connect2 热点并查看文件内容。 Lenovo Connect2 是用于在电脑和 Android 移动设备之间传输文件的程序。解决方案: 应采取哪些措施进行自我保护: 更新到最新版本的 Connect2,即 4.2.5.4885 或更高版本(对于 Windows)和 4.2.5.3071 或更高版本(对于 Android)。 要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。 最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。
在用户可读的位置存储的Lenovo Connect2临时Wi-Fi网络密钥-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 在用户可读的位置存储的Lenovo Connect2临时Wi-Fi网络密钥 的常见问题,包括:Lenovo Connect2在传输文件时临时Wi-Fi密码被其他用户看到,怎么办等。
内容来源:联想官方
常见问题解答
Lenovo Connect2在传输文件时临时Wi-Fi密码被其他用户看到,怎么办
该问题源于Lenovo Connect2(小新系列搭载的文件传输工具)在建立临时热点时,将Wi-Fi网络密钥明文存储于用户可读位置,导致拥有本地账户读取权限的攻击者可窃取密码并接入热点、访问传输中的文件。解决方案:立即升级Connect2至Windows平台4.2.5.4885或更高版本,或Android平台4.2.5.3071或更高版本。升级前请确保设备联网,通过Lenovo官方应用商店(Windows端为Lenovo Vantage内置更新模块,Android端为Google Play或联想应用商店)搜索‘Lenovo Connect2’并安装最新版。旧版本无法修复此安全漏洞,不建议继续使用。