Secunia informuje o niebezpiecznym błędzie w Hewlett-Packard Software Update, systemie służącym automatycznemu rozpowszechnianiu poprawek i sterowników. Dziura w kontrolkach ActiveX pozwala cyberprzestępcy na uzyskanie dostępu do komputera użytkownika. Do ataku dochodzi, gdy użytkownik, korzystając z Internet Explorera, zostanie zachęcony do odwiedzenia szkodliwej witryny. Tam przestępca może wywołać błąd przepełnienia bufora.

"Udany atak wymaga, by użytkownik odwiedził szkodliwą witrynę używając IE6 lub wcześniejszego. Jeśli korzysta z IE7 to przestępca musi go najpierw przekonać, by włączył obsługę ActiveX" - mówi Tan Chew Keong, odkrywca luki.

Dziury występują w oprogramowaniu w wersji 4.000.009.002 i wcześniejszych. HP opublikowało już odpowiednią poprawkę.