Sicherheitsleck in HP-ActiveX-Modul
Eine Schwachstelle in Microsofts MFC-Bibliotheken soll sich in darauf aufbauender Software zum Ausführen von Schadcode eignen. Ein ActiveX-Modul aus Druckertreibern und Software von HP könnte Webseiten daher das Einschleusen fremden Codes erlauben.
Die Treiber fĂĽr einige HP-Produkte installieren laut den Sicherheitsforschern von Goodfellas ein unsicheres ActiveX-Modul. Betroffen sollen die Treiber HP All-in-One Series Web Release und HP Photo & Imaging Gallery Version 1.1 sein, in denen zumindest in der englischen Fassung der Datei hpqutil.dll 2.0.0.138 ein heapbasierter PufferĂĽberlauf auftreten kann.
Beim Aufruf der Funktion ListFiles() durch Webseiten, die das ActiveX-Modul einbinden, überprüft die Software die Länge von Benutzerdaten nicht, sodass laut Sicherheitsmeldung ein Pufferüberlauf auftreten und in Folge eingeschleuster Schadcode zur Ausführung kommen kann. Der Fehler soll auf fehlerhafte Komponenten von Microsoft zurückzuführen sein. Die Funktion FindFile() der MFC-Bibliotheken MFC42 und MFC71 reserviert der Goodfellas-Fehlermeldung zufolge in der Unicode-Version 592 und in der ASCII-Version 320 Bytes für das erste an die Funktion übergebene Argument, ohne zu prüfen, ob die Puffer ausreichend dimensioniert sind. Überprüft eine Anwendung, die diese Funktion nutzt, die Länge nicht selbst, soll ein Pufferüberlauf mit den bekannten Folgen auftreten.
Laut der Fehlermeldung haben die argentinischen Sicherheitsforscher Microsoft kontaktiert. Der Softwarekonzern stufe das Problem als nicht dringend ein, ein Bugfix solle aber bald kommen. Für das betroffene HP-ActiveX-Modul ist unbekannt, ob aktualisierte und fehlerbereinigte Software zur Verfügung steht. Anwender können für das Modul mit der ClassID F3F381A3-4795-41FF-8190-7AA2A8102F85 das Killbit setzen, damit es Webseiten im Internet Explorer nicht mehr einbinden können. Aufgrund der zahlreichen fehlerhaften ActiveX-Komponenten, die sich im Internet Explorer etwa zum Einschleusen fremden Codes missbrauchen lassen, sollten Nutzer aber besser ActiveX für die Internet-Zone komplett deaktivieren.
Siehe dazu auch:
- FileFind class from MFC Library cause heap overflow, Sicherheitsmeldung von Goodfellas
- ActiveX hpqutil!ListFiles hpqutil.dll - Remote heap overflow, Fehlermeldung von Goodfellas
(dmk)
