潜在影响:可能导致不需要的数据输入
重要性:中
影响范围:全行业
摘要描述:
发现一处漏洞:处于系统物理临近区域内的攻击者可以利用专门设备,通过 Lenovo Ultraslim 无线键盘和鼠标接收器对用户的系统进行键盘输入(如击键)。
由于存在这一漏洞,合法用户通过无线键盘的输入仍保持加密状态,而通过 Lenovo Ultraslim 无线键盘输入的纯文本击键则无法进行无线读取。
解决方案:
应采取哪些措施进行自我保护:
Lenovo 建议在具备物理安全性的区域使用 Ultraslim 无线键盘和鼠标。Lenovo 正在努力修复受影响键盘中的固件。该固件只能在制造时安装。担心此问题且需要立即采取缓解措施的用户可联系 Lenovo 支持中心(http://support.lenovo.com.cn/lenovo/wsi/contact.html),Lenovo 会为您将受影响的键盘和鼠标更换为有线键盘和鼠标。
当可以进行固件修复时,该公告将进行更新,并建议用户联系 Lenovo 支持中心。届时,Lenovo 会主动将受影响的键盘更换为新的 Ultraslim 无线键盘以及包含已更新固件的接收器。Lenovo 非常感谢受影响客户的耐心。公司将尽最大努力,认真、高效地处理所有请求。
产品影响:
| 部件描述 | FRU | 部件号 |
| Liteon SK-8861 2.4G KBD_GD_US | 00XH736 | SD50M33721 |
| Liteon ZTM600 2.4G 鼠标 GD_WW | 00PH140 | SM50M33720 |
| 无线键盘黑色(银色拉丝)英语 LVT8 | 01AH627 | SD50K93072
25209175 |
| 无线键盘黑色(银色拉丝)马来西亚英语 LVT8 | 01AH628 | SD50K93080
25209176 |
| 无线键盘黑色(银色拉丝)繁体中文 LVT8 | 01AH629 | SD50K93084
25209177 |
| 无线键盘黑色(银色拉丝)泰语 LVT8 | 01AH630 | SD50K93078 |
| 无线键盘黑色(银色拉丝)捷克语/斯洛伐克语 LVT8 | 01AH631 | SD50K93079 |
| 无线键盘黑色(银色拉丝)印度英语 LVT8 | 01AH632 | SD50K93116 |
| 无线键盘黑色(银色拉丝)俄语 LVT8 | 01AH633 | SD50K93113 |
| 无线键盘黑色(银色拉丝)英国英语 LVT8 | 01AH634 | SD50K93109
25209182 |
| 无线键盘黑色(银色拉丝)北欧语言 LVT8 | 01AH635 | SD50K93094
25209183 |
| 无线键盘黑色(银色拉丝)拉美西班牙语 LVT8 | 01AH636 | SD50K93095
25209184 |
| 无线键盘黑色(银色拉丝)阿根廷拉美西班牙语 LVT8 | 01AH637 | SD50K93069
25209185 |
| 无线键盘黑色(银色拉丝)阿拉伯语 LVT8 | 01AH638 | SD50K93098
25209186 |
| 无线键盘黑色(银色拉丝)瑞士语言 LVT8 | 01AH639 | SD50K93064
25209187 |
| 无线键盘黑色(银色拉丝)德语 LVT8 | 01AH640 | SD50K93099
25209188 |
| 无线键盘黑色(银色拉丝)土耳其语 LVT8 | 01AH641 | SD50K93107
25209189 |
| 无线键盘黑色(银色拉丝)西班牙语 LVT8 | 01AH642 | SD50K93061
25209190 |
| 无线键盘黑色(银色拉丝)斯洛文尼亚语 LVT8 | 01AH643 | SD50K93091
25209191 |
| 无线键盘黑色(银色拉丝)意大利语 LVT8 | 01AH644 | SD50K93111
25209192 |
| 无线键盘黑色(银色拉丝)希伯来语 LVT8 | 01AH645 | SD50K93092
25209193 |
| 无线键盘黑色(银色拉丝)法语 LVT8 | 01AH646 | SD50K93060
25209194 |
| 无线键盘黑色(银色拉丝)希腊语 LVT8 | 01AH647 | SD50K93062
25209195 |
| 无线键盘黑色(银色拉丝)匈牙利语 LVT8 | 01AH648 | SD50K93076
25209196 |
| 无线键盘黑色(银色拉丝)保加利亚语 LVT8 | 01AH649 | SD50K93102
25209197 |
| 无线键盘黑色(银色拉丝)朝鲜语 LVT8 | 01AH650 | SD50K93082
25209198 |
| 无线键盘黑色(银色拉丝)日语 LVT8 | 01AH651 | SD50K93112
25209199 |
| 无线键盘黑色(银色拉丝)加拿大英语/法语 LVT8 | 01AH652 | SD50K93075
25209200 |
| 无线键盘黑色(银色拉丝)葡萄牙语 LVT8 | 01AH653 | SD50K93103
25209201 |
| 无线键盘黑色(银色拉丝)比利时英语 LVT8 | 01AH654 | SD50K93081
25209202 |
| 无线键盘黑色(银色拉丝)USI 英语 LVT8(荷兰适用) | 01AH655 | SD50K93065
25209203 |
| 银色拉丝 2.4G 键盘(英国英语)- 黑色 | 00UW407 | SD50K02047 |
| 无线鼠标黑色 | 01AH700 | SM50K93074
25203464 |
| 无线鼠标黑色无电池 | 00UW408 | SM50K02048
25203465 |
| 无线鼠标黑色马来西亚语 | 01AH701 | SM50K93114
25203466 |
| 无线鼠标黑色日语 | 01AH702 | SM50K93110
25205773 |
致谢:
Lenovo 特此感谢来自 Bastille 威胁研究团队的 Marc Newlin。
其他信息和参考资料:
CVE ID:CVE-2016-6257
修订历史:
版本:1.0
日期:2016 年 7 月 26 日
描述:初始版本