int(3962)

Boletines de Vulnerabilidades


Ejecución de código arbitrario en HP Software Update

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado HP Software Update <= v4.000.009.002

Descripción

Se ha descubierto una vulnerabilidad en HP Software Update v4.000.009.002 y anteriores sobre Microsoft Windows. La vulnerabilidad reside en un error no especificado en el control ActiveX HPeDiag.

Un atacante remoto podría obtener información sensible y ejecutar código arbitrario mediante una página HTML especialmente diseñada.

Existe una prueba de concepto disponible.

Solución



Actualización de software

Hewlett-Packard
Software Update v4.000.010.008
https://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01439758-1

HP Software Update v5.002
http://h10025.www1.hp.com/ewfrf/wc/softwareCategory?product=3892964

Identificadores estándar

Propiedad Valor
CVE CVE-2008-0712
BID 28929

Recursos adicionales

HP SECURITY BULLETIN (HPSBGN02333)
https://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01439758-1

HP SECURITY BULLETIN (HPSN-2008-002)
http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01439758

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2008-04-25

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT