В приложениях hp найдена критическая уязвимость: произвольный код
ActiveX-компонент в составе приложений Hewlett-Packard – HP All-in-One Series Web Release и HP Photo & Imaging Gallery 1.1 – позволяет злоумышленникам удаленно внедрить на компьютер вредоносный код. Код незаметно для пользователя загружается при посещении веб-страницы, содержащей код вызова уязвимого компонента.
Уязвимость, обнаруженная исследователями Goodfellas, находится в методе ListFiles() компонента, содержащегося в библиотеке hpqutil.dll до версии 2.0.0.138, сообщает Heise-security.co.uk. Метод (функция) не проверяет размер переданной строки и копирует ее в выделенную область памяти фиксированной длины. В результате происходит перезапись других структур памяти, находящихся в так называемой "куче" - области динамически выделяемой памяти. Вредоносный код может быть встроен в передаваемый параметр так, что в процессе работы ActiveX-компонента коду может быть передано управление.
Уязвимость, обнаруженная исследователями Goodfellas, находится в методе ListFiles() компонента, содержащегося в библиотеке hpqutil.dll до версии 2.0.0.138, сообщает Heise-security.co.uk. Метод (функция) не проверяет размер переданной строки и копирует ее в выделенную область памяти фиксированной длины. В результате происходит перезапись других структур памяти, находящихся в так называемой "куче" - области динамически выделяемой памяти. Вредоносный код может быть встроен в передаваемый параметр так, что в процессе работы ActiveX-компонента коду может быть передано управление.
Ещё новости по теме:
18:20