Au début du mois d'avril, nous avions constaté le retrait de l'application SSD Utility sur le site web de la marque OCZ (Toshiba) sans qu'aucune explication ne soit donnée. Contacté par nos soins, le fabricant indiquait alors qu'il ne s'agissait que d'un problème technique en cours de résolution mais là encore sans donner d'explication précise.

Nous apprenons désormais que la boîte à outils SSD Utility, servant à effectuer la maintenance des SSD OCZ, contient en réalité une faille de sécurité ce qui a nécessité le retrait du logiciel à titre préventif. OCZ précise que la vulnérabilité ne touche que l'édition Windows du SSD Utility et non l'édition Linux ni l'édition bootable.

Par ailleurs, c'est uniquement le programme d'installation qui présente une vulnérabilité et non l'application elle-même. En d'autres termes, cette faille ne présente un risque qu'au moment de l'exécution de l'installateur pendant laquelle un programme malveillant tiers peut corrompre le chargement d'une DLL dont le chemin d'accès est mal protégé et ainsi bénéficier d'une élévation de privilèges. Une fois installée, l'application SSD Utility ne présenterait pas de risques de sécurité supplémentaires ce qui explique pourquoi Toshiba n'a pas demandé aux utilisateurs de procéder à sa désinstallation mais s'est contenté "d'empêcher" de nouvelles installations.

Il est d'ailleurs évident que cette vulnérabilité du SSD Utility d'OCZ est exactement la même que celle identifiée et corrigée dans l'installateur des applications et firmwares des cartes mémoires communicantes Toshiba FlashAir/TransferJet (CVE-2017-2149). Toshiba avait procédé de la même façon en retirant de son site les logiciels incriminés au mois d'avril avant de publier les correctifs il y a quelques jours.

Pour en revenir au SSD Utility, une mise à jour vient d'être publiée afin de résoudre ce problème de sécurité. Il s'agit de la version 2.3.2773 qui apporte par ailleurs quelques autres améliorations et corrections notamment concernant la fonctionnalité de mise à jour automatique du logiciel, le benchmark intégré ou encore la traduction de l'interface. La distribution Linux utilisée par l'édition bootable de l'utilitaire a aussi été actualisée.

Toshiba demande bien évidemment aux utilisateurs de supprimer définitivement de leur PC les précédentes versions de l'installateur (2.2.2645 et antérieures) pour ne pas s'exposer c'est à dire le fichier SSDUtility_2.2.2645.exe par exemple.

Téléchargement de l'OCZ SSD Utility 2.3.2773

• Application pour Windows 7/8.1/10
• Application pour Windows Linux
• Application bootable (image DMG)

Actualité publiée par Julien Sambourg le lundi 22 mai 2017 à 14:50
Commenter cette actualité
Marques associées : OCZ Toshiba
Catégorie associée : Solid-State Drive (SSD)
Flux RSS des actualités TousLesDrivers.com