Sicherheitslücke in HP Software Update
Ein Sicherheitsproblem in der Software, die nach aktualisierten Treibern und Software des Herstellers suchen soll, kann dazu ausgenutzt werden, um auf dem betroffenen System zu schnüffeln oder beliebigen Code zu Ausführung zu bringen.
Im HP Software Update, das automatisch nach aktualisierten Treibern und Software des Herstellers suchen soll, wurden schon mehrfach Sicherheitslecks ausgemacht. Jetzt wurde ein Problem in einem ActiveX-Control namens HPeDiag gefunden, das zu dem Update-Programm gehört. Die Sicherheitslücke lässt sich benutzen, um auf dem betroffenen System Informationen auszuspähen oder beliebigen Code zu Ausführung zu bringen, wenn der Benutzer eine dafür präparierte Website aufsucht.
Betroffen ist laut HP jeder Windows-PC, auf dem HP Software Update in der Version v4.000.009.002 oder früher installiert. Als Gegenmaßnahme steht eine neue Version des Programms bereit. Sie soll sich laut HP mit der Update-Funktion des Programms selbst herunterladen lassen; bei einem Versuch von heise online funktionierte dies aber nicht. Alternativ kann man die neue Version aber auch direkt herunterladen. (jo)
