Encore un trou à colmater chez Dell

Pas de bol pour Dell, qui a fait son "grand" retour sur les marchés boursiers en juillet 2018, l'entreprise doit une nouvelle fois essuyer les plâtres de failles de sécurité dans son software SupportAssist. Oui, encore lui ! En fait, le logiciel en question n'est même pas développé par le constructeur lui-même, mais une entreprise tierce connue sous le nom de PC Doctor, autrement dit, l'existence de la faille publiée aujourd'hui par Dell pourrait également concerner d'autres entreprises exploitant des solutions logicielles de PC Doctor, par exemple : Corsair One Diagnostics, Corsair Diagnostics, Staples EasyTech Diagnostic Tool, Tobii I-Series Diagnostic Tool, Tobii Dynavox Diagnostic Tool. 

Aujourd'hui, PC Doctor et Dell ont donc levé le voile sur la vulnérabilité CVE-2019-12280. Chez Dell, elle affecte SupportAssist 2.0 sur les PC Business et les versions 3.2.1 ou antérieures sur les machines Home de l'OEM, en sachant que le logiciel est livré avec toutes les machines Dell sous Windows 10. Le danger ? La faille pourrait permettre à un programme ou utilisateur enregistré malveillant d'obtenir des droits administrateurs plus élevés par l’intermédiaire du service Windows "Dell Hardware Support", ce dernier touchant à plusieurs bibliothèques de logiciels et qui peuvent ainsi être substituées. Le patch a déjà été publié simultanément sous la forme des versions 2.0.1 et 3.2.2, Dell recommande de mettre à jour SupportAssist dès que possible ou de le faire manuellement si la mise à jour automatique ne se fait pas pour une raison ou une autre.

Avec ce rajout sur la liste et tous les autres exemples récents de failles logicielles plus ou moins gênantes, par exemple comme celle-ci du logiciel WebStorage d'ASUS ou les faiblesses multiples dans les softs maison de GIGABYTE, on peut tout de même s'interroger sur le sérieux de certaines de ces entreprises à l'égard de la sécurité de leur clientèle...