HP heeft meer dan twintig verschillende laptopmodellen van het eigen merk en het merk Compaq op de markt gebracht die voorzien zijn van voorgeïnstalleerde software waar veiligheidslekken in zitten.
De lekken zitten in een ActiveX control die onderdeel uitmaakt van de HP Info Center software die standaard meegeleverd wordt op veel HP en Compaq laptops. Symantec ontdekte de lekken en heeft klanten van haar DeepSight threat network op de hoogte gesteld van de lekken. "Eén van de ActiveX controls die standaard in de software zitten bevatten drie lekken die het voor kwaadwillenden mogelijk maken om op afstand code uit te voeren of het register aan te passen", aldus de onderzoeker met nickname ‘porkythepig’ op de websites SecurityFocus en milw0rm.
Behalve een uitleg van de kwetsbaarheden is er in de berichten ook proof-of-concept code terug te vinden. Symantec adviseert gebruikers daarom om de ActiveX controls uit te schakelen totdat HP met een oplossing komt. Hiervoor moeten de gebruikers echter wel aanpassingen maken in het Windows register, wat voor veel gebruikers een lastig werkje zal zijn. Er is echter ook een eenvoudigere manier om de laptops veilig te stellen, namelijk door Active Scripting in Internet Explorer uit te schakelen. Dit is echter wel een wat rigoureuze manier.
Volgens ‘porkythepig’ is vrijwel elke HP en Compaq laptop die de afgelopen jaren is verscheept kwetsbaar, maar in ieder geval zijn de lekken bij de volgende modellen bevestigd. De HP 510 en 530, de Compaq 2710, 2510, 6120, 6220, 6230, 6325, 6510, 6715, 6910, 7300, 8220, 8230, 8440, 8510, 8710 en 9440 en de NC, NW en NX serie. HP heeft nog geen reactie gegeven op de ontdekking van porkythepig en het is dus ook niet duidelijk of en wanneer HP met een patch gaat komen.
5 uur geleden
