L’année 2015 aura été compliquée pour Lenovo, leader du marché des PC :
La firme a décidé de devenir plus transparente, plus exemplaire et plus attentive. Elle a ainsi récemment livré la version 5.07.0019 de son outil ThinkVantage System Update, dédiée aux systèmes d’exploitation Windows 7, 8, 8.1 et 10.
Au menu, la correction de deux failles permettant des escalades privilèges. La première offrait à un utilisateur disposant d’un compte aux droits limités de lancer Internet Explorer en tant qu’administrateur, en cliquant sur les liens proposés au sein de l’application. Une bourde ouvrant une porte au sein de l’OS.
L’application se lance temporairement en tant qu’administrateur, mais malheureusement avec un nom d’utilisateur trop facilement prévisible, car suivant toujours le même schéma : tvsu_tmp_xxxxxXXXXX, où les « x » et « X » sont des lettres minuscules et majuscules générées de façon aléatoire suivant l’heure courante. Un utilisateur peut relancer l’application avec le même compte utilisateur, en attendant la même heure de la journée. Le mot de passe utilise deux méthodes, dont une est elle aussi prédictible, explique IOActive.
Ces deux vulnérabilités sont maintenant éliminées. Notez que Lenovo n’est pas le seul à rencontrer des soucis avec ses logiciels. Dernièrement, un bug dans les Dell Foundation Services laissait ainsi s’échapper un certificat de sécurité sur le disque dur des utilisateurs, mettant en danger les connexions réalisées en HTTPS (voir à ce propos notre article « Pas de Superfish pour Dell, juste un certificat douteux »).
À lire aussi :
Résultats Lenovo : après les acquisitions, viennent les licenciements
Lenovo met du Xeon et 64 Go de Ram dans ses ThinkPad !
Serveurs : Lenovo prépare l’après System x
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…