Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2007 > CERT-FI haavoittuvuustiedote 181/2007

CERT-FI haavoittuvuustiedote 181/2007

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

12.12.2007

HP Info Center -ActiveX-komponentin haavoittuvuus

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

HP Info Center -ohjelmistoon liittyvästä HPInfoDLL.dll -ActiveX-komponentista on löytynyt haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista lukea ja kirjoittaa Windowsin rekisteriavaimia sekä mahdollisesti suorittaa haavoittuvassa järjestelmässä omia komentojaan. Haavoittuvuus liittyy puutteelliseen syötteen tarkistukseen ja sitä voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivulle. Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

  • HP Quick Launch Button versiot 6.0 - 6.3 (HP Info Center 1.0.1.1), myös muut versiot saattavat olla haavoittuvia.

Kyseinen ohjelmisto on esiasennetuna useissa HP Compaq, HP Pavilion, Compaq Presario -merkkisissä kannettavissa tietokoneissa.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Asenna valmistajan tuottama ohjelmistopäivitys valmistajan ohjeiden mukaisesti.

ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38166.html

ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38171.html

ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38181.html

Haavoittuvan komponentin käyttäjä voi rajoittaa ongelmaa estämällä väliaikaisesti haavoittuvan ActiveX-komponentin toiminnan asettamalla sen ns. kill-bit. Tämä kuitenkin estaa kokonaan kyseisen ActiveX-komponentin toiminnan ja voi aiheuttaa ongelmia tätä komponenttia käyttäviä sovelluksia käytettäessä.

Kill-bit asetetaan seuraavasti. Tee tekstitiedosto, joka sisältää seuraavaa:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{62DDEB79-15B2-41E3-8834-D3B80493887A}]
"Compatibility Flags"=dword:00000400

Tallenna tiedosto nimellä, joka päättyy .reg (esimerkiksi korjaus.reg) ja kaksoisklikkaa tiedostoa esittävää kuvaketta tai tiedoston nimeä resurssienhallinnassa. Käynnistä Internet Explorer uudelleen. Asetus haittaa sellaisten web-sivujen selailua, jotka käyttävät kyseistä ActiveX-komponenttia.

On hyvä huomata, että ActiveX-komponentin palauttaminen takaisin toimintaan saattaa olla vaikeaa.

LISÄTIETOA:

PÄIVITYSHISTORIA:

12.12.2007, kello 14.57: Julkaistu

13.12.2007, kello 10.45: Lisätty tieto hyväksikäyttömenetelmän olemassaolosta ja haavoittuvan sovelluksen esiasennuksista.

15.12.2007, kello 22.10: Lisätty maininta haavoittuvan komponentin käytöstä poistavan korjauksen olemassaolosta.

27.12.2007, kello 14.50: Lisätty tieto korjauspäivitysten SP38171 ja SP38181 olemassaolosta.

Sivua päivitetty 27.12.2007   Tulostusversio Tulostusversio