Lenovo corrige une faille de sécurité sur ses ordinateurs portables

Vue d’ensemble :

Lenovo a publié un patch de sécurité permettant de corriger une vulnérabilité de mot de passe codé en dur dans l’utilitaire Lenovo Fingerprint Manager Pro. 

Cette application permet aux utilisateurs de se connecter à leur PC ou de s'authentifier auprès de sites Web configurés en utilisant la reconnaissance d'empreintes digitales. La faille affecte près d'une douzaine de modèles d'ordinateurs portables Lenovo (versions ThinkPad, ThinkCentre et ThinkStation) qui exécutent les versions de Microsoft Windows 7, 8 et 8.1.

Détails techniques :

Une vulnérabilité a été identifiée dans Lenovo Fingerprint Manager Pro. Les données sensibles stockées par Lenovo Fingerprint Manager Pro, y compris les informations d'identification Windows et les données dactyloscopiques des utilisateurs, sont chiffrées à l'aide d'un algorithme faible. Si déchiffrées, un mot de passe codé en dur peut être récupéré par tout utilisateur disposant d’un accès local non administratif au système vulnérable. Ce mot de passe peut être utilisé pour élever les privilèges localement.

Lenovo a publié une mise à jour corrigeant le problème.

Il est recommandé de mettre à jour le produit à la version 8.01.87


Informations
+

Impact

  • Élévation de privilèges locale

Criticité

  • CVSS v3 : Non connue à ce jour

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • ThinkStation E32, P300, P500, P700, P900
  • ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
  • ThinkPad Yoga 14 (20FY), Yoga 460
  • ThinkPad X240, X240s, X250, X260
  • ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
  • ThinkPad W540, W541, W550s
  • ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
  • ThinkPad P40 Yoga, P50s
  • ThinkPad L560

Les ordinateurs exécutant Windows 10 ne sont pas impactés par la vulnérabilité.

CVE

  • CVE-2017-3762

Recommandations
+

Correctifs

  • Mettre à jour Fingerprint Manager Pro à la version 8.01.87 ou ultérieure

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.