Pour gérer vos consentements :

Lenovo corrige deux failles de sécurité dans son outil de mise à jour

L’année 2015 aura été compliquée pour Lenovo, leader du marché des PC :

La firme a décidé de devenir plus transparente, plus exemplaire et plus attentive. Elle a ainsi récemment livré la version 5.07.0019 de son outil ThinkVantage System Update, dédiée aux systèmes d’exploitation Windows 7, 8, 8.1 et 10.

Au menu, la correction de deux failles permettant des escalades privilèges. La première offrait à un utilisateur disposant d’un compte aux droits limités de lancer Internet Explorer en tant qu’administrateur, en cliquant sur les liens proposés au sein de l’application. Une bourde ouvrant une porte au sein de l’OS.

Un compte administrateur trop peu sécurisé

L’application se lance temporairement en tant qu’administrateur, mais malheureusement avec un nom d’utilisateur trop facilement prévisible, car suivant toujours le même schéma : tvsu_tmp_xxxxxXXXXX, où les « x » et « X » sont des lettres minuscules et majuscules générées de façon aléatoire suivant l’heure courante. Un utilisateur peut relancer l’application avec le même compte utilisateur, en attendant la même heure de la journée. Le mot de passe utilise deux méthodes, dont une est elle aussi prédictible, explique IOActive.

Ces deux vulnérabilités sont maintenant éliminées. Notez que Lenovo n’est pas le seul à rencontrer des soucis avec ses logiciels. Dernièrement, un bug dans les Dell Foundation Services laissait ainsi s’échapper un certificat de sécurité sur le disque dur des utilisateurs, mettant en danger les connexions réalisées en HTTPS (voir à ce propos notre article « Pas de Superfish pour Dell, juste un certificat douteux »).

À lire aussi :
Résultats Lenovo : après les acquisitions, viennent les licenciements
Lenovo met du Xeon et 64 Go de Ram dans ses ThinkPad !
Serveurs : Lenovo prépare l’après System x

Crédit photo : © Olivier le Moal – Shutterstock

Recent Posts

IA générative : l’Autorité de la concurrence pointe de sérieux risques

Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…

3 jours ago

OpenAI signe un accord de contenu avec Time

OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…

3 jours ago

Atos : David Layani (Onepoint) veut sortir du capital

Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…

3 jours ago

Évaluer les LLM, un défi : le cas Hugging Face

Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…

4 jours ago

Mozilla face au dilemme de la GenAI dans Firefox

Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…

4 jours ago

VMware tente d’orienter vers VCF les déploiements pré-Broadcom

VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…

5 jours ago