В приложениях HP найдена критическая уязвимость: произвольный код

ActiveX-компонент в составе приложений Hewlett-Packard – HP All-in-One Series Web Release и HP Photo & Imaging Gallery 1.1 – позволяет злоумышленникам удаленно внедрить на компьютер вредоносный код. Код незаметно для пользователя загружается при посещении веб-страницы, содержащей код вызова уязвимого компонента.

Уязвимость, обнаруженная исследователями Goodfellas, находится в методе ListFiles() компонента, содержащегося в библиотеке hpqutil.dll до версии 2.0.0.138, сообщает Heise-security.co.uk. Метод (функция) не проверяет размер переданной строки и копирует ее в выделенную область памяти фиксированной длины. В результате происходит перезапись других структур памяти, находящихся в так называемой «куче» - области динамически выделяемой памяти. Вредоносный код может быть встроен в передаваемый параметр так, что в процессе работы ActiveX-компонента коду может быть передано управление.

©  CNews