Alvorligt sikkerhedshul rammer HP-bærbare

Hul i HP's opdateringssoftware gør det muligt at køre kode på klienter, samt opsnappe informationer om klienten. Sårbarheden formodes at gælde alle nyere HP-bærbare.

Sårbarheder i en ActiveX-kontrol i HP's opdateringssoftware, gør klienten sårbar overfor eksekvering af kode og kan også betyde, at information bliver afsløret om klienten, oplyser den danske sikkerhedsvirksomhed Secunia.

Det er uvist, præcist hvilke informationer sårbarheden gør det muligt at opsnappe om klienten. Angående kodeeksekverings-sårbarheden, så tillader den ifølge Secunia at køre vilkårlig kode på klienten med samme rettigheder som den indloggede bruger, når en berørt klient besøger en ondsindet hjemmeside.

Hullet i softwaren formodes at berøre adskillige brugere, da opdateringssoftwaren bliver benyttet til at holde HP-brugere opdateret med drivere, firmware og applikationer.

»Den ser ud til at være på alle nyere HP-bærbare. Og ifølge HP's egen beskrivelse er det en standard-ting,« siger teknisk direktør ved Secunia Thomas Kristensen.

Secunia anbefaler, at brugere opdaterer HP's opdateringssoftware til version 4.000.010.008, hvor hullerne skulle være lukkede. Den aktuelle sårbarhed berører umiddelbart kun brugere af browseren Internet Explorer under Windows, som kan angribes, når de surfer forbi en ondsindet hjemmeside.

»Det er kun i Internet Explorer, eftersom Internet Explorer er den eneste browser, der understøtter ActiveX-kontroller,« siger Thomas Kristensen.

Som generelt værn mod udnyttelse af ActiveX-sårbarheder, råder Thomas Kristensen brugere af Internet Explorer til at sætte browserens sikkerhedsindstillinger højt. Alternativt kan man også bruge eksempelvis Firefox, men det er et spørgsmål om præference, siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Martin Kofoed

Viser vel med al tydelighed, hvilke typer problemer man lukker op for med Statens Sikkerhedssoftware (Stasi), som det blev foreslået af et panel for et par dage siden. Uha, uha ...

I tilfældet med HP's OEM-software ville jeg nok foreslå at reinstallere med en vanilla Windows og så selv holde styr på, hvilke systemer man har kørende, og hvilke porte man har åbne.

  • 0
  • 0
Log ind eller Opret konto for at kommentere