Discussion :

[Victor Vincent]

Une faille de sécurité affecte Lenovo Fingerprint Manager Pro sur Windows 7, 8 et 8.1,
un correctif a été publié par la société

Lenovo a fait part d’une vulnérabilité affectant son utilitaire de gestion d'empreintes digitales sur Windows 7, 8 et 8.1. La société a publié un correctif sous forme d’une mise à jour et demande à ses utilisateurs d’installer en urgence la version 8.01.87 de l’utilitaire ou une version supérieure. Cette mesure concerne notamment les utilisateurs de Lenovo Fingerprint Manager Pro sur ThinkPad, ThinkCentre ou encore ThinkStation.

Lenovo déclare que la vulnérabilité CVE-2017-3762, découverte sur son utilitaire d’empreinte digitale installée sur les versions 7, 8 et 8.1 de Windows est due à un algorithme faible utilisé pour coder les données d'empreintes digitales et un mot de passe codé en dur. Ils rendent les données facilement accessibles aux utilisateurs ayant un accès local sans qu'ils aient besoin de privilèges d'administration, déclare la société.

L'utilitaire d'empreinte digitale est utilisé pour stocker des données telles que les informations d'identification de connexion sous Windows. Cela signifie que le mot de passe codé en dur pourrait être utilisé non seulement pour contourner l'authentification par empreinte digitale, mais aussi pour déchiffrer d'autres données de sécurité. La vulnérabilité a été découverte par Jackson Thuraisamy de Security Compass.

Lenovo Fingerprint Manager Pro est un utilitaire pour Windows 7, 8 et 8.1 qui permet aux utilisateurs de se connecter à leur PC ou de s'authentifier sur des sites Web configurés en utilisant la reconnaissance d'empreintes digitales. Lenovo indique que le logiciel concerné peut être installé sur les systèmes suivants :

ThinkPad L560 ;
ThinkPad P40 Yoga, P50s ;
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560 ;
ThinkPad W540, W541, W550s ;
ThinkPad X1 Carbone (Type 20A7, 20A8), Carbone X1 (Type 20BS, 20BT) ;
ThinkPad X240, X240s, X250, X260 ;
ThinkPad Yoga 14 (20FY), Yoga 460 ;
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z ;
ThinkStation E32, P300, P500, P700, P900.

Tous ces périphériques sont donc potentiellement exposés si une version antérieure à la 8.01.87 de l’utilitaire d’empreinte digitale de Lenovo est installée dessus.

Source : support.lenovo.com

Et vous ?

Que pensez-vous de cette vulnérabilité découverte sur l'utilitaire d'empreinte digitale de Lenovo ?

Voir aussi

Des failles dans un client BitTorrent permettraient à un attaquant de prendre le contrôle de votre ordinateur, d'après un chercheur

Sécurité : une faille dans WhatsApp permet d’espionner les conversations de groupe d’autres applications de messagerie sont affectées

Une PoC concernant une faille colmatée d'Oracle WebLogic aurait été utilisée, pour déployer un mineur de cryptomonnaie

[Aiekick]

je peux pas croire une seule seconde que ce ne soit pas volontaire, surtout de la part de Lenovo qui est outumier des backdoors.