L’année 2015 aura été compliquée pour Lenovo, leader du marché des PC :
La firme a décidé de devenir plus transparente, plus exemplaire et plus attentive. Elle a ainsi récemment livré la version 5.07.0019 de son outil ThinkVantage System Update, dédiée aux systèmes d’exploitation Windows 7, 8, 8.1 et 10.
Au menu, la correction de deux failles permettant des escalades privilèges. La première offrait à un utilisateur disposant d’un compte aux droits limités de lancer Internet Explorer en tant qu’administrateur, en cliquant sur les liens proposés au sein de l’application. Une bourde ouvrant une porte au sein de l’OS.
L’application se lance temporairement en tant qu’administrateur, mais malheureusement avec un nom d’utilisateur trop facilement prévisible, car suivant toujours le même schéma : tvsu_tmp_xxxxxXXXXX, où les « x » et « X » sont des lettres minuscules et majuscules générées de façon aléatoire suivant l’heure courante. Un utilisateur peut relancer l’application avec le même compte utilisateur, en attendant la même heure de la journée. Le mot de passe utilise deux méthodes, dont une est elle aussi prédictible, explique IOActive.
Ces deux vulnérabilités sont maintenant éliminées. Notez que Lenovo n’est pas le seul à rencontrer des soucis avec ses logiciels. Dernièrement, un bug dans les Dell Foundation Services laissait ainsi s’échapper un certificat de sécurité sur le disque dur des utilisateurs, mettant en danger les connexions réalisées en HTTPS (voir à ce propos notre article « Pas de Superfish pour Dell, juste un certificat douteux »).
À lire aussi :
Résultats Lenovo : après les acquisitions, viennent les licenciements
Lenovo met du Xeon et 64 Go de Ram dans ses ThinkPad !
Serveurs : Lenovo prépare l’après System x
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…