Sicherheitsleck in HP Software Update

Nachdem HP vergangene Woche bereits eine kritische Lücke in der bei Notebooks mitgelieferten Software stopfen musste, wurden nun weitere Sicherheitslecks in einer vorinstallierten Komponente entdeckt. Die ActiveX-Module des HP Software Update, das automatisch nach aktualisierten Treibern und Software des Herstellers suchen soll, lassen sich von Webseiten einbinden; Angreifer können mit präparierten Webseiten unsichere Funktionen darin missbrauchen, um auf betroffenen Systemen Dateien anzulegen oder möglicherweise zu beschädigen und sie so unbrauchbar machen oder um Informationen auszuspähen.

Einer der Entdecker der Lücken, der sich porkythepig nennt, hat eine Sicherheitsmeldung zu der Schwachstelle in der Funktion SaveToFile() des ActiveX-Moduls EngineRules.dll veröffentlicht. Die Funktion kann aufgrund der Markierung als safe for scripting von Webseiten im Internet Explorer aufgerufen werden, was allerdings mit dem Internet Explorer 7 zu zwei Nachfragen des Browsers vor der Ausführung führt. porkythepig zufolge hat die ActiveX-Komponente vollen Systemzugriff und kann daher alle Dateien, auch die für den Systemstart wichtigen, lesen beziehungsweise die ersten vier Bytes von ihnen überschreiben. Eine bereitgestellte Demonstration soll beispielsweise die Zerstörung der Windows-Startdateien vorführen und das System soweit schädigen, dass es anschließend nicht mehr startet.

Im Test konnte heise Security das Problem nachvollziehen, dass das Anlegen neuer Dateien möglich ist. Dadurch könnten bösartige Webseiten beispielsweise die Festplatte vollschreiben. Allerdings funktionierte das Demolieren vorhandener Dateien nicht. Die getestete Version 4.0.5 des HP Software Update, die derzeit auf der HP-Homepage zum Download bereitsteht, enthält eine der Schwachstellen daher offenbar nicht. Die Sicherheitsmeldung nennt jedoch die Versionen 3.0.8.4 des HP Software Update Client sowie Version 1.0 der RulesEngine.dll als verwundbare Komponenten. Diese Versionen können auf HP-Systemen ab Werk vorinstalliert sein und beide beschriebenen Schwachstellen aufweisen.

Eine weitere Schwachstelle in einem ActiveX-Modul des HP Software Update hat Elazar Broad gemeldet. Die Komponente hpediag.dll ermöglicht dem Fehlerbericht zufolge, beliebige Dateien und Registry-Schlüssel auf dem System auszulesen. Verwundbar soll die Bibliothek in der Version 1.0.11.0 sein, mit der Fassung 1.0.18.0 aus der aktuellen HP-Software-Update-Version ließ sich das Problem nicht nachvollziehen.

Die ActiveX-Module tragen folgende ClassIDs:

• RulesEngine.dll: 7CB9D4F5-C492-42A4-93B1-3F7D6946470D
• hpediag.dll, fileUtil: CDAF9CEC-F3EC-4B22-ABA3-9726713560F8
• hpediag.dll, regUtil: 0C378864-D5C4-4D9C-854C-432E3BEC9CCB

Bis zur Verfügbarkeit eines Updates von HP können sich betroffene Anwender behelfen, indem sie das Killbit für die ActiveX-Module setzen. Microsoft stellt eine Anleitung bereit, die die Vorgehensweise beschreibt.

Siehe dazu auch:

• HP laptops Software Update tool vulnerability, Sicherheitsmeldung von porkythepig
• HP eSupportDiagnostics hpediags.dll Information Disclosure, Fehlerbericht von Elazar Broad

(dmk)