Logo HP Avec plusieurs de ses produits de sa vaste activité dans le secteur de l’informatique, Hewlett-Packard fournit l’utilitaire HP Software Update. Sa mission est de tenir la machine de l’utilisateur à jour en repérant et en facilitant le rapatriement des dernières mises à jour nécessaires au matériel et aux logiciels HP installés sur le système. Il se peut toutefois que la mécanique s’enraye et soit presque prise à son propre jeu via la découverte de vulnérabilités.

Plusieurs sociétés de sécurité informatique se sont ainsi faites l’écho d’un avis récemment publié par HP. Parmi ces dernières, Secunia a pointé du doigt la présence de vulnérabilités exploitables à distance et qualifiées de " hautement critiques " affectant  HP Software Update dans ses versions 4.000.009.002 et inférieures sous Windows.


Contrôles ActiveX en cause
Une vulnérabilité résulte d’un problème de débordement de mémoire présent au niveau du contrôle ActiveX HPeSupportDiags.HPIniFileUtil.1 (HPeDiag.dll) lors de la gestion d’une méthode " GetXmlFromIni() " malformée. Le risque habituel encouru est l’exécution de code arbitraire après visite d’une page Web spécialement conçue.

La deuxième faille est due à des erreurs de conception concernant plusieurs méthodes dans certains contrôles ActiveX autorisant après exploitation, l’accès en lecture à des entrées de la base de registre, des fichiers texte ou la récupération d’informations relatives au système.  

Pour les utilisateurs concernés, il est donc vivement conseillé de mettre à jour HP Software Update pour disposer d’une version 4.000.010.008 exempte de vulnérabilités.