Поделиться
Обнаружена еще одна критическая уязвимость ноутбуков НР
В ноутбуках НР обнаружена еще одна критическая уязвимость.
Ошибка в инструменте автоматического обновления, установленном на ноутбуках НР, может быть использована для изменения системных файлов и поражения системы загрузки ПК, сообщается на milw0rm. Уязвимость позволяет удаленно записать произвольный файл. Она связана с недостатками защиты в компоненте ActiveX (EngineRules.dll), которые «отвечают» за автоматическое обновление ПО.
Посредством этой уязвимости хакеры могут внеси вредоносный код после посещения пользователем специально подготовленной зараженной веб-страницы. Используя эту ошибку можно осуществить атаку, поразив системные файлы и скомпрометировать систему загрузки.
Уязвимость затрагивает пользователей ноутбуков HP, использующих IE 6 или 7 на всех поддерживаемых версиях Windows, сообщается на reghardware.co.uk.
Подробности об ошибке размещены на форуме milw0rm исследователем безопасности, назвавшим себя «porkythepig». Напомним, что на прошлой неделе было объявлено о другой уязвимости ПО для ноутбуков НР. НР быстро выпустила обновление для устранения ошибки в Info Centre. «Но здесь подобная политика не поможет. Простая блокировка уязвимых компонентов приведет к компрометации системы обновления ПО», - пишет исследователь ИБ.
Короткая ссылка
