Lenovo corrige deux failles de sécurité dans son outil de mise à jour

L’année 2015 aura été compliquée pour Lenovo, leader du marché des PC :

La firme a décidé de devenir plus transparente, plus exemplaire et plus attentive. Elle a ainsi récemment livré la version 5.07.0019 de son outil ThinkVantage System Update, dédiée aux systèmes d’exploitation Windows 7, 8, 8.1 et 10.

Au menu, la correction de deux failles permettant des escalades privilèges. La première offrait à un utilisateur disposant d’un compte aux droits limités de lancer Internet Explorer en tant qu’administrateur, en cliquant sur les liens proposés au sein de l’application. Une bourde ouvrant une porte au sein de l’OS.

Un compte administrateur trop peu sécurisé

L’application se lance temporairement en tant qu’administrateur, mais malheureusement avec un nom d’utilisateur trop facilement prévisible, car suivant toujours le même schéma : tvsu_tmp_xxxxxXXXXX, où les « x » et « X » sont des lettres minuscules et majuscules générées de façon aléatoire suivant l’heure courante. Un utilisateur peut relancer l’application avec le même compte utilisateur, en attendant la même heure de la journée. Le mot de passe utilise deux méthodes, dont une est elle aussi prédictible, explique IOActive.

Ces deux vulnérabilités sont maintenant éliminées. Notez que Lenovo n’est pas le seul à rencontrer des soucis avec ses logiciels. Dernièrement, un bug dans les Dell Foundation Services laissait ainsi s’échapper un certificat de sécurité sur le disque dur des utilisateurs, mettant en danger les connexions réalisées en HTTPS (voir à ce propos notre article « Pas de Superfish pour Dell, juste un certificat douteux »).