Selon un chercheur en sécurité informatique se présentant sous l'identité de porkythepig, une faille 0-day affecte plusieurs modèles d'ordinateurs portables du leader mondial en la matière, Hewlett Packard. Si le pseudonyme de porkythepig peut prêter à sourire, ses dires n'en sont pas moins sérieux car, preuve de concept à l'appui, confirmés par diverses sociétés de sécurité parmi lesquelles le danois Secunia qui vient de publier un bulletin d'alerte qualifié de hautement critique, soit le niveau 4 d'une échelle de dangerosité en comportant 5.
La vulnérabilité a été découverte dans le logiciel HP Info Center pré-installé sur certaines machines et offrant un accès en un clic à diverses fonctionnalités. Le coupable désigné est un contrôle ActiveX dénommé HPInfoDD.dll qui ne restreint pas l'accès à ses méthodes LaunchApp(), GetRegValue() et SetRegValue(). En résulte des risques d'exploitation afin d'exécuter une commande arbitraire ou lire, écrire des données dans le registre d'un système vulnérable.
Le scénario typique d'une attaque nécessite la consultation d'une page Web malicieuse où l'ActiveX marqué comme sûr sera invoqué sans même la confirmation de l'utilisateur avec Internet Explorer 6, pour peu que l'active scripting soit autorisé. Avec IE7, l'utilisateur doit par contre confirmer l'exécution.
La version concernée de HP Info Center est la v1.0.1.1 sous Windows XP, 2000, Server 2003 et Vista. ActiveX oblige et en attendant la publication d'un correctif made in HP, il est recommandé pour les utilisateurs concernés d'avoir recours à un navigateur ne les prenant pas en charge à l'instar de Firefox, Opera ou à défaut, désactiver ActiveX dans Internet Explorer.
Ce n'est pas la première fois que HP est confronté à un problème sécuritaire impliquant l'un de ses logiciels pré-installés, avec un cas similaire apparu plus tôt dans l'année. Ces problèmes ne sont cependant pas l'apanage de HP et fin 2006, une vulnérabilité avait été identifiée, également dans un contrôle ActiveX présent par défaut dans certains portables Acer.
Flux Rss
Version PDF
Commenter 
Une faille critique affecte le logiciel HP Info Center pré-installé dans de nombreux ordinateurs portables du fabricant américain Hewlett Packard. Cause plus précise du problème, un contrôle ActiveX vulnérable... 
