Se connecter
Lenovo corrige deux failles de sécurité dans son outil de mise à jour
Deux failles de sécurité critiques ont été découvertes, et corrigées, dans ThinkVantage System Update. La mise à jour de l'application est vivement recommandée.
L'année 2015 aura été compliquée pour Lenovo, leader du marché des PC :
- Affaire de l'outil-espion Superfish en février
- Scandale de la faille des firmwares en août
- Découverte de la collecte de données par les outils Lenovo en septembre
La firme a décidé de devenir plus transparente, plus exemplaire et plus attentive. Elle a ainsi récemment livré la version 5.07.0019 de son outil ThinkVantage System Update, dédiée aux systèmes d'exploitation Windows 7, 8, 8.1 et 10.
Au menu, la correction de deux failles permettant des escalades privilèges. La première offrait à un utilisateur disposant d'un compte aux droits limités de lancer Internet Explorer en tant qu'administrateur, en cliquant sur les liens proposés au sein de l'application. Une bourde ouvrant une porte au sein de l'OS.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Un compte administrateur trop peu sécurisé
L'application se lance temporairement en tant qu'administrateur, mais malheureusement avec un nom d'utilisateur trop facilement prévisible, car suivant toujours le même schéma : tvsu_tmp_xxxxxXXXXX, où les « x » et « X » sont des lettres minuscules et majuscules générées de façon aléatoire suivant l'heure courante. Un utilisateur peut relancer l'application avec le même compte utilisateur, en attendant la même heure de la journée. Le mot de passe utilise deux méthodes, dont une est elle aussi prédictible, explique IOActive.
Ces deux vulnérabilités sont maintenant éliminées. Notez que Lenovo n'est pas le seul à rencontrer des soucis avec ses logiciels. Dernièrement, un bug dans les Dell Foundation Services laissait ainsi s'échapper un certificat de sécurité sur le disque dur des utilisateurs, mettant en danger les connexions réalisées en HTTPS (voir à ce propos notre article « Pas de Superfish pour Dell, juste un certificat douteux »).
À lire aussi :
Résultats Lenovo : après les acquisitions, viennent les licenciements
Lenovo met du Xeon et 64 Go de Ram dans ses ThinkPad !
Serveurs : Lenovo prépare l'après System x
Crédit photo : © Olivier le Moal - Shutterstock
Sur le même thème
Voir tous les articles Workspace
Par Clément Bohic
Par Clément Bohic
Par Clément Bohic
Par Clément Bohic
Par La rédaction
