Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2007 > CERT-FI haavoittuvuustiedote 188/2007

CERT-FI haavoittuvuustiedote 188/2007

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

23.12.2007

HP Software Update-sovelluksen ActiveX-komponentin haavoittuvuus

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - käyttövaltuuksien laajentaminen
- tietojen muokkaaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

HP Software Update on HP:n tuotteiden mukana tuleva automaattinen päivistyssovellus. Sovellukseen liittyvästä RulesEngine.dll-ActiveX-komponentista on löytynyt haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän on mahdollista kirjoittaa mihin hyvänsä kohdejärjestelmän tiedostoihin. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivulle. Haavoittuvuuksiin on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

  • HP Software Update 3.0.8.4, jossa on 'RulesEngine.dll' ActiveX control 1.0

Kyseinen ohjelmisto on yleensä esiasennettuna HP:n kannettavissa tietokoneissa.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelma uusimpaan versioon sen omalla päivitystoiminnallisuudella.

ActiveX-komponentin (CLSID:7CB9D4F5-C492-42A4-93B1-3F7D6946470D) ajamisen voi kieltää väliaikaisesti Microsoftin sivuilla kuvatuilla tavoilla:http://support.microsoft.com/kb/240797

LISÄTIETOA:

http://www.securityfocus.com/bid/26950/
http://www.anspi.pl/~porkythepig/hp-issue/wyfukanyszynszyl.txt
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6506

PÄIVITYSHISTORIA:

23.12.2007, kello 23.20: Julkaistu

Sivua päivitetty 23.12.2007   Tulostusversio Tulostusversio