Multiples vulnérabilités du logiciel HP Quick Launch Button

AV08-001
Date : 2 janvier 2008

Objet

L'objet de cet avis est d'attirer l'attention sur de multiples vulnérabilités exploitables à distance de la composante Info Center du logiciel HP Quick Launch Button.

Évaluation

Trois vulnérabilités critiques ont été découvertes dans le logiciel HP Info Center software. Ce logiciel, qui fait partie du logiciel HP Quick Launch Buttons, est inclus dans les installations par défaut de divers ordinateurs bloc-notes et tablettes de HP. HPInfoDLL.dll, une composante de contrôle ActiveX de HP Info Center, est sujette à diverses vulnérabilités qui, si elles sont exploitées, pourraient permettre l'exécution de code à distance, donner accès à distance au registre système (en lecture/écriture) ou permettre l'exécution de commandes shell.

Cette lacune peut être exploitée en amenant l'utilisateur à accéder à une URL malveillante conçue pour exploiter cette vulnérabilité. L'exploitation peut se poursuivre sans que d'autres interventions de l'utilisateur ne soient requises.

Produits vulnérables

La version 1.0.1.1 de HP Info Center et les versions antérieures (ordinateurs et bloc-notes HP Compaq) exploités sous Microsoft Windows avec la version 6.3 de HP Quick Launch Button ou une version antérieure).

Note : La suppression ou la désinstallation du logiciel Quick Launch Button ne supprime pas la vulnérabilité. HP suggère que l'on installe le correctif approprié sur tous les ordinateurs bloc-notes de HP.

Mesure suggérée

Le CCRIC recommande que les administrateurs testent et installent les correctifs et mises à jour de produit à la première occasion :

Dans le cas des ordinateurs bloc-notes professionnels HP Compaq des séries nc, nx et nw (par exemple, les modèles nc6230 et nw8440) et les ordinateurs bloc-notes professionnels HP 500, 510, 520 et 530, téléchargez et installez le correctif HP SoftPaq SP38181 :

• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38181.html (information)
• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38181.exe (correctif)

Dans le cas des ordinateurs blocs-notes professionnels HP Compaq dont le numéro de modèle se termine par la lettre b, p, s ou w (par exemple, 6515b, 6910p ou 8510w), téléchargez et installez le correctif HP SoftPaq SP38171 :

• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38171.html (information)
• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38171.exe (correctif)

Dans le cas des blocs-notes de consommateur HP Pavilion et Compaq Presario, téléchargez et installez le correctif HP SoftPaq SP38166 :

• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38166.html (information)
• ftp://ftp.hp.com/pub/softpaq/sp38001-38500/sp38166.exe (information)

Références

• HP - Support technique (en anglais)
• Securityfocus.com (en anglais)
• Common Vulnerabilities and Exposures (en anglais)
• French Security Incident Response Team (en anglais)

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca