04/06-08 - Pressemeddelelse

Mange kritiske sårbarheder i central HP komponent

HP er en af verdens største hardware leverandører. De tilbyder en bred palette af desktop- og laptop PC´ere som henvender sig til både virksomheder og slutbruger markedet.

Hovedparten af HP maskiner kommer præinstalleret med forskellige ActiveX komponenter som bl.a. gør det muligt at opdatere systemet med nye softwarepakker fra HP, herunder applikationer, drivere og firmware. CSIS har konstateret en kritisk sårbarhed i en central HP komponent. Sårbarheden i komponenten kan misbruges til at køre skadelig kode fra en fjendtlig webside på HP hardware med komponenten installeret.

Den sårbare ActiveX komponent vil også blive installeret på systemet når en bruger besøger HP´s hjemmeside for at hente opdateringer til deres software/hardware.

CSIS Security Group har fundet multiple kritiske sårbarheder i denne ActiveX komponent som leveres af HP og som anvendes i relation til Microsoft Internet Explorer for derigennem at tilbyde forskellige opdateringsservices. Der er tale om forskellige buffer overflows.

Sårbarhederne gør det muligt, for en ondsindet person, at køre vilkårlig kode på et system, ved blot at lokke brugeren til at besøge en fjendtlig webside, eller via SQL- og HTML injektion angreb, hvor almindelige brugere tvinges fra en harmløse webside, til en side med skadeligt indhold. Den skadelige kode vil køre med samme rettigheder som den indloggede bruger og kan derved lede til komplet systemkompromittering.

Sårbarhederne er fundet og rapporteret af Dennis Rand fra CSIS Security Group.

HP har frigivet et advisory som kan findes på følgende adresse:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01422264

Et teknisk advisory med PoC og Snort signaturer kan findes hos CSIS på adressen:
http://www.csis.dk/dk/forside/CSIS-RI-0003.pdf