В приложениях HP найдена критическая уязвимость: произвольный код

ActiveX-компонент в составе приложений Hewlett-Packard - HP All-in-One Series Web Release и HP Photo & Imaging Gallery 1.1 - позволяет злоумышленникам удаленно внедрить на компьютер вредоносный код. Код незаметно для пользователя загружается при посещении веб-страницы, содержащей код вызова уязвимого компонента.

Уязвимость, обнаруженная исследователями Goodfellas, находится в методе ListFiles() компонента, содержащегося в библиотеке hpqutil.dll до версии 2.0.0.138, сообщает Heise-security.co.uk. Метод (функция) не проверяет размер переданной строки и копирует ее в выделенную область памяти фиксированной длины. В результате происходит перезапись других структур памяти, находящихся в так называемой "куче" - области динамически выделяемой памяти. Вредоносный код может быть встроен в передаваемый параметр так, что в процессе работы ActiveX-компонента коду может быть передано управление.

По материалам: http://pda.cnews.ru/news/index.shtml
Опубликовано: 19 сентября 2007
Последние публикации по этой теме:
Комментариев: [0] / Оставить комментарий

Keywords:

код, произвольный код, код приложениях, вредоносный код, код составе, код код, код может, содержащей код, код вызова