Hewlett-Packard ha advertido a los usuarios de sus modelos de impresoras HP Color LaserJet 2500 y 4600, que sus computadoras corren el riesgo de ser accedidas desde una red local por usuarios malintencionados, los que podrían obtener información no autorizada.
El fallo de seguridad se encuentra en el software que es entregado junto a los modelos mencionados de impresoras HP Color LaserJet, y se debe a un error de validación de entrada en el servidor HTTP que forma parte del componente “Caja de herramientas” o “Toolbox”.
Esto puede ser explotado para revelar el contenido de archivos de forma arbitraria, mediante un ataque del tipo “travesía”. La vulnerabilidad conocida como “Directory Traversal Vulnerability”, ocurre cuando se especifica un nombre de archivo con una secuencia de caracteres como “../../”, lo que puede permitir el acceso a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación.
La caja de herramientas es instalada en el PC junto con los drivers requeridos. El programa utiliza una interfase web para permitir a los usuarios acceder a la información del estado de la impresora, consejos para resolver problemas, demostraciones y alertas.
Para solucionar este problema de seguridad, HP ha publicado la actualización 3.1 de su software para las impresoras Color Laserjet 2500/4600, que puede ser descargado de los siguientes enlaces:
HP Color LaserJet 2500 Toolbox:
http://www.hp.com/go/clj2500_software
HP Color LaserJet 4600 Toolbox:
http://www.hp.com/go/clj4600_software
Más información:
HP Color LaserJet 2500/4600 Toolbox Disclosure of Sensitive Information
http://secunia.com/advisories/19529/
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=628
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com