Home > Notícias

Hacker afirma que 24 modelos de notebooks da HP vêm com bugs

Falha está no controle ActiveX incluso no software pré-instalado HP Info Center

Por Computerworld/EUA

13/12/2007 às 18h20

Foto:

Entre os laptops vendidos pela Hewlett Packard, 23 modelos são entregues com vulnerabilidades “zero day” múltiplas, alertaram pesquisadores de segurança na quarta-feira (12/12).

Leia mais:

Os bugs estão em um controle ActiveX incluso no software HP Info Center, pré-instalado nos notebooks da HP que rodam o Windows 2000, XP, Server 2003 e Vista, informou a Symantec aos clientes de sua rede de ameaças DeepSight.

O Info Center é integrante da aplicação Quick Launch Buttons, que dá aos usuários acesso em um clique para conseguir informações e detalhes de configuração dos portáteis.

“Um destes controles ActiveX possui três métodos inseguros que permitem que alguém mal-intencionado mire nos notebooks da HP para controlá-lo remotamente, além de ataques baseados na manipulação de registro”, informou um especialista que se identificou como "porkythepig".

Os posts dos pesquisadores incluíam, além das vulnerabilidades, códigos “prova de conceito”. Bugs nos controles ActiveX motivaram a campanha "Uma Falha por Dia", em maio deste ano, que visava a alertar usuários do Windows sobre ataques por meio do recurso ActiveX.

A Symantec recomendou que os usuários ajustem o “kill bit” no controle ActiveX até que a HP corrija a falha. O processo, contudo, requer edição do registro do Windows.

Uma defesa menos efetiva seria desabilitar o Active Scripting do Internet Explorer, já que “a forma primária de explorar esta vulnerabilidade é via um site malicioso.”

Apesar de porkythepig afirmar que o controle defeituoso está em praticamente todos os modelos de laptop da HP dos últimos anos, ele revela que 23 diferentes notebooks rodam o controle com falha.

A lista inclui os modelos HP 510 e 530; os da Compaq 2710, 2510, 6120, 6220, 6230, 6325, 6510, 6715, 6910, 7300, 8220, 8230, 8440, 8510, 8710 e 9440; e as séries NC, NW e NX.

O hacker também falou sobre os bugs da HP em mensagens postadas no site milw0rm.com e no Bugtraq. “A empresa está muito envolvida na guerra de patentes de software, mas deveria cuidar da segurança dos usuários ao invés de buscar direito no círculo das invenções”, declarou porkythepig.

A HP não comentou sobre os bugs do ActiveX descobertos.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail