Sicherheitslücke in Notebooks von HP/Compaq

#1 Eine kritische Lücke in der auf vielen Laptops von HP vorinstallierten Software "HP Info Center" gefährdet deren Sicherheit. Ein Angreifer kann über eine manipulierte Webseite ein verwundbares Laptop beim Besuch mit Schädlingen infizieren, sofern der Anwender den Internet Explorer 6 oder 7 benutzt. Das Info Center ist Bestandteil der ab Werk installierten HP Quick Launch. Einen ähnlichen Fall gab es bereits Anfang des Jahres bei Acer-Notebooks, bei dem ein ab Werk installiertes ActiveX-Control eine gefährliche Hintertür enthielt.
Ursache des Problems sind drei unsichere Methoden in einem vom Info Center mitinstallierten ActiveX-Control (HPInfoDLL.dll, CLSID 62DDEB79-15B2-41E3-8834-D3B80493887A), die den Zugriff auf das Dateisystem und die Registry ermöglichen sowie einen automatischen Download und die Installation weiterer Software unterstützen. Das Control ist als "Safe for Scripting" deklariert, sodass jede beliebige Webseite es ansprechen und via JavaScript fernsteuern kann.
Betroffen ist laut des auf dem Exploit-Portal Milw0rm erschienenen Fehlerberichts HP Info Center v1.0.1.1 unter Windows 2000, XP, Server 2003 und Vista. Der Fehlerbericht enthält auch Demo-Code, um das Problem vorzuführen. Nach Angaben des Entdeckers mit dem Pseudonym "porkythepig" wurde der Fehler auf folgenden HP-Modellen nachvollzogen:
HP/Compaq Info: ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38166.html 82 Modelle sind betroffen
Es gibt zur Zeit ein update wobei das "HP Info Center" ausgeschaltet wird

Quelle: heise.de
__________
MfG Argus