Ongepatcht lek in software op HP-laptops
Gepubliceerd: Donderdag 13 december 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Ongepatcht lek in software op HP-laptops
De software op een groot aantal laptops van HP bevat een lek. De kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de HP-notebooks.
Dat blijkt uit een advisory die is gepubliceerd op milw0rm.com en op BugTraq. Volgens de ontdekker van het lek, een persoon die gebruikmaakt van het pseudoniem 'porkythepig', zit de kwetsbaarheid in het 'HP Info Center'. Deze software is voorgeïnstalleerd op een flink aantal laptopseries van HP Compaq.
Het probleem schuilt in een ActiveX control (HPInfoDLL.dll). De onveilige ActiveX control stelt een kwaadwillend persoon in staat om code uit te voeren en aanpassingen te doen in de registry. In de praktijk is het daardoor bijvoorbeeld mogelijk om malware te installeren.
Een aanvaller die een HP-gebruiker te grazen wil nemen, moet zijn slachtoffer eerst naar een kwaadaardige webpagina lokken. Het lek kan alleen worden misbruikt als het potentiële slachtoffer gebruikmaakt van Internet Explorer. Bezitters van een HP-laptop die willen controleren of ze kwetsbaar zijn voor het lek, kunnen dat (op eigen risico) testen op een door 'porkythepig' gemaakte webpagina.
Het zijn niet de eerste beveiligingsproblemen voor HP-laptops dit jaar. In juni van dit jaar bracht HP al een patch uit voor een kwetsbaarheid in het 'Help and Support Center' op de schootcomputers van HP.
Bron: Techworld
