Lenovo soluciona el error de almacenamiento de credenciales inseguras en Fingerprint Manager Pro.

El fabricante de hardware y electrónica, Lenovo, reveló una vulnerabilidad insegura en el almacenamiento de credenciales en su software debido a su muy escasa seguridad informática  de utilidad Fingerprint Manager Pro, que puede aprovecharse para el escalamiento de privilegios locales en una variedad de sistemas.

El software, que permite a los propietarios de dispositivos usar el reconocimiento de huellas digitales para iniciar sesión o autentificarse en sitios web configurados, se corrigió con la versión del 11 de enero de la versión 8.01.87, contando con los parches y seguridad como la de el Instituto Internacional de Seguridad Cibernética Pero en versiones anteriores, los datos confidenciales, incluidas las credenciales de inicio de sesión y los datos dactiloscópicos, “se encriptan usando un algoritmo débil, contienen una contraseña codificada y todos los usuarios con acceso local no administrativo al sistema en el que están instalados tienen acceso. “, Advirtió Lenovo en un aviso de seguridad del 25 de enero.

El error de alta gravedad, CVE-2017-3762, fue descubierto por el investigador de Security Compass Jason Thuraisamy, corroborado por la empresa WebImprints y se aplica a los siguientes sistemas que se ejecutan en Windows 7, 8 y 8.1:

 

ThinkPad L560

ThinkPad P40 Yoga, P50s

ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560

ThinkPad W540, W541, W550s

ThinkPad X1 Carbon (Tipo 20A7, 20A8), X1 Carbon (Tipo 20BS, 20BT)

ThinkPad X240, X240s, X250, X260

ThinkPad Yoga 14 (20FY), Yoga 460

ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z

ThinkStation E32, P300, P500, P700, P900

También el 25 de enero, Lenovo lanzó una segunda actualización de seguridad informática que anunció una corrección de firmware para CVE-2017-3768, una vulnerabilidad de gravedad media en el Módulo de administración integrada 2, que podría permitir a los usuarios sin privilegios desencadenar una condición de denegación de servicio.