W programie narzędziowym HP Software Update tool odkryto lukę, która może ułatwić zdalne wykonanie kodu, lub wyciek danych przechowywanych na pececie.
Zidentyfikowany niebezpieczny składnik HP Software Update to kontrolka ActiveX o nazwie HPeDiag. Jej zadaniem jest sprawdzenie wszelkich aktualizacji dotyczących bezpieczeństwa, firmware, sterowników, itp.
Luka dotyczy wszystkich komputerów HP oraz pecetów współpracujących ze skanerami, drukarkami i aparatami cyfrowymi autorstwa HP.
Chew Keong z serwisu vuln.sg ujawnił, iż kontrolka ActiveX instaluje się z wersją 3.0.2.991 oprogramowania HP Software Update.
Aktualizacje do wersji v4.000.009.002 również mogą być narażone na ten sam błąd, jednakże luka powinna byc usunięta w wersji v4.000.010.008.
Udany atak polega na zwabieniu nieświadomego użytkownika na specjalnie skonstruowaną stronę www. Atak zakończy się powodzeniem, jeśli internauta korzysta z przeglądarki Internet Explorer 6 (lub wcześniejszej). W przypadku IE7 użytkownik musi wpierw pozwolić na uruchamianie kontrolek ActiveX.
HP nie radzi, aby użytkownicy wyłączyli obsługę kontrolek ActiveX – tak czyni natomiast US Computer Emergency Readiness Team (US-CERT).
Na stronie HP znajduje się dokument wyjaśniający w jaki sposób zaktualizować wadliwe oprogramowanie.
źródło: news.zdnet.co.uk
Dziura w oprogramowaniu HP
Bezpieczeństwo |
Śr, 30 Kwie 2008 00:00:24 +0200 |
Autor:
Redakcja
| Czytań: 3068
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.