dunanea

Puntos: 7.593, Nivel: 61

Nivel Superior: 62%, 257 Puntos faltan

Actividad: 100%

Se ha vuelto a encontrar un grave error de seguridad en software de HP que podría permitir la ejecución de código con sólo visitar una página web con Internet Explorer y que esté especialmente manipulada para aprovechar el fallo. No es la primera vez que un ActiveX de HP contiene una grave vulnerabilidad.
En concreto, se han encontrado dos problemas en el HP Software Update, precisamente la utilidad para actualizar productos de la marca. Se instala por defecto en muchos portátiles de la compañía, y junto con controladores y utilidades de otros productos de HP como impresoras, cámaras, escáneres... El control ActiveX HPeSupportDiags.HPIniFileUtil.1 en la librería HpeDiag.dll, tiene un problema en el método GetXmlFromIni que puede provocar un desbordamiento de memoria intermedia y permitir la ejecución de código. Un fallo típico en estos casos y muy sencillo de aprovechar. De hecho existe exploit público.

Existe además otro fallo de menor gravedad que permite leer y obtener de forma remota información sobre el sistema operativo. El fallo es aprovechable, como es habitual en estos casos, con solo visitar una página con Internet Explorer. A través de JavaScript se instancia el ActiveX y se llama a la función vulnerable para hacer que ejecute código. En Internet Explorer 7 el usuario deberá aprobar manualmente por defecto la ejecución.

Los fallos se dan en la versión de la librería 4.000.009.002 y anteriores. HP ya ha publicado una actualización que 'soluciona' los problemas. Lo que hace en realidad la actualización es aplicar el 'kill bit' a los CLSIDs vulnerables, con lo que no pueden ser invocados desde Internet Explroer.

No es la primera vez que HP distribuye un componente ActiveX peligroso. A finales de 2007 se alertaba sobre un problema muy similar en un ActiveX que venía instalado en los portátiles de la compañía. El fallo se daba en el componente HP Info Center, en concreto en uno de los HP Quick Launch Buttons. La librería HPInfoDLL.dll utilizaba métodos inseguros, que permitían la ejecución de código.

En noviembre de 2006, se descubrió una vulnerabilidad en el control ActiveX LunchApp.APlunch que podía ser aprovechada por atacantes para ejecutar código. El fallo afectaba a los Windows que por defecto venían instalados en muchos de los portátiles Acer.


Opina sobre esta noticia:
Comentario para una-al-dia 01/05/2008. De nuevo, un ActiveX de productos HP permite la ejecución remota de código

Más Información:

14/12/2007 Ejecución de código en software distribuido con portátiles HP
Ejecución de código en software distribuido con portátiles HP - Hispasec - Una al día 14/12/2007

21/11/2006 Ejecución de código en software distribuido con portátiles Acer
Ejecución de código en software distribuido con portátiles Acer - Hispasec - Una al día 21/11/2006

HP Software Update HPeDiag Running on Windows, Remote Disclosure of
Information and Execution of Arbitrary Code
HPSBGN02333 SSRT080031 rev.1 - HP Software Update HPeDiag Running on Windows, Remote Disclosure of Information and Execution of Arbitrary Code - c01439758 - HP Business Support Center

__________________
"Comienza tu día con una sonrisa, verás lo divertido que es ir por ahí desentonando con todo el mundo."