Lenovo a fait part d’une vulnérabilité affectant son utilitaire de gestion d'empreintes digitales sur Windows 7, 8 et 8.1. La société a publié un correctif sous forme d’une mise à jour et demande à ses utilisateurs d’installer en urgence la version 8.01.87 de l’utilitaire ou une version supérieure. Cette mesure concerne notamment les utilisateurs de Lenovo Fingerprint Manager Pro sur ThinkPad, ThinkCentre ou encore ThinkStation. Lenovo déclare que la vulnérabilité CVE-2017-3762, découverte sur son utilitaire d’empreinte digitale installée sur les versions 7, 8 et 8.1 de Windows est due à un algorithme faible utilisé pour coder les données d'empreintes digitales et un mot de passe codé en dur. Ils rendent les données facilement accessibles aux utilisateurs ayant un accès local sans qu'ils aient besoin de privilèges d'administration, déclare la société.
L'utilitaire d'empreinte digitale est utilisé pour stocker des données telles que les informations d'identification de connexion sous Windows. Cela signifie que le mot de passe codé en dur pourrait être utilisé non seulement pour contourner l'authentification par empreinte digitale, mais aussi pour déchiffrer d'autres données de sécurité. La vulnérabilité a été découverte par Jackson Thuraisamy de Security Compass.
Lenovo Fingerprint Manager Pro est un utilitaire pour Windows 7, 8 et 8.1 qui permet aux utilisateurs de se connecter à leur PC ou de s'authentifier sur des sites Web configurés en utilisant la reconnaissance d'empreintes digitales. Lenovo indique que le logiciel concerné peut être installé sur les systèmes suivants :
ThinkPad L560 ;
ThinkPad P40 Yoga, P50s ;
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560 ;
ThinkPad W540, W541, W550s ;
ThinkPad X1 Carbone (Type 20A7, 20A8), Carbone X1 (Type 20BS, 20BT) ;
ThinkPad X240, X240s, X250, X260 ;
ThinkPad Yoga 14 (20FY), Yoga 460 ;
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z ;
ThinkStation E32, P300, P500, P700, P900.
Tous ces périphériques sont donc potentiellement exposés si une version antérieure à la 8.01.87 de l’utilitaire d’empreinte digitale de Lenovo est installée dessus.
Source : support.lenovo.com
Et vous ?
Que pensez-vous de cette vulnérabilité découverte sur l'utilitaire d'empreinte digitale de Lenovo ?Voir aussi
Des failles dans un client BitTorrent permettraient à un attaquant de prendre le contrôle de votre ordinateur, d'après un chercheur Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe d’autres applications de messagerie sont affectées Une PoC concernant une faille colmatée d'Oracle WebLogic aurait été utilisée, pour déployer un mineur de cryptomonnaie 
