En concreto, se han encontrado dos problemas en el HP Software Update, precisamente la utilidad para actualizar productos de la marca. Se instala por defecto en muchos portátiles de la compañía, y junto con controladores y utilidades de otros productos de HP como impresoras, cámaras, escáneres… El control ActiveX HPeSupportDiags.HPIniFileUtil.1 en la librería HpeDiag.dll, tiene un problema en el método GetXmlFromIni que puede provocar un desbordamiento de memoria intermedia y permitir la ejecución de código. Un fallo típico en estos casos y muy sencillo de aprovechar. De hecho existe exploit público.
Existe además otro fallo de menor gravedad que permite leer y obtener de forma remota información sobre el sistema operativo. El fallo es aprovechable, como es habitual en estos casos, con solo visitar una página con Internet Explorer. A través de JavaScript se instancia el ActiveX y se llama a la función vulnerable para hacer que ejecute código. En Internet Explorer 7 el usuario deberá aprobar manualmente por defecto la ejecución.
Los fallos se dan en la versión de la librería 4.000.009.002 y anteriores. HP ya ha publicado una actualización que ‘soluciona’ los problemas. Lo que hace en realidad la actualización es aplicar el ‘kill bit’ a los CLSIDs vulnerables, con lo que no pueden ser invocados desde Internet Explorer.
No es la primera vez que HP distribuye un componente ActiveX peligroso.
A finales de 2007 se alertaba sobre un problema muy similar en un ActiveX que venía instalado en los portátiles de la compañía. El fallo se daba en el componente HP Info Center, en concreto en uno de los HP Quick Launch Buttons. La librería HPInfoDLL.dll utilizaba métodos inseguros, que permitían la ejecución de código.
En noviembre de 2006, se descubrió una vulnerabilidad en el control ActiveX LunchApp.APlunch que podía ser aprovechada por atacantes para ejecutar código. El fallo afectaba a los Windows que por defecto venían instalados en muchos de los portátiles Acer.
Sergio de los Santos
http://www.hispasec.com
