Une vulnérabilité dans le logiciel « Lenovo Solution Center » permet d’obtenir les privilèges système et donc un contrôle total de la machine. Aucun correctif ne sera diffusé : il faut désinstaller le logiciel.
Lenovo n’est malheureusement pas reconnu pour la qualité de ses logiciels préinstallés. En 2015, le fabricant avait déjà été épinglé pour un adware doublé d’un certificat root (Superfish) et pour un firmware défaillant qui force l’installation de logiciels pas vraiment utiles. Les chercheurs en sécurité de PenTestPartners viennent maintenant de découvrir un nouveau souci, cette fois dans le logiciel utilitaire « Lenovo Solution Center ». Celui est préinstallé depuis 2011 sur de nombreux ordinateurs portables Lenovo sous Windows.
Le problème, c’est qu’une faille dans ce logiciel (CVE-2019-6177) permettrait à un pirate d’obtenir les privilèges système pour exécuter du code arbitraire sur la machine. Une situation plutôt dangereuse, raison pour laquelle cette faille a été cataloguée avec un niveau de risque « important ». Lenovo ne compte pas fournir de correctif, car ce logiciel a atteint sa fin de support en novembre 2018. Il est donc obsolète. Le fabricant recommande de désinstaller ce logiciel et de le remplacer par Lenovo Vantage ou Lenovo Diagostics.
Source : PenTestPartners, Lenovo