据国外媒体报道,赛门铁克周三发出警告,在惠普销售的笔记本中,有23款存在多个“零日”漏洞,容易遭到黑客攻击。
赛门铁克在报告中称,这些漏洞存在于采用Windows 2000、XP、Server 2003和Vista操作系统的惠普和康柏笔记本预装的惠普软件信息中心。惠普软件信息中心是惠普Quick Launch Buttons应用的一部分。通过这一应用,用户只需点击一下鼠标,就可以获得笔记本的配置信息。
一名研究人员表示:“利用惠普默认部署的一个ActiveX控件,黑客可以通过三种方式在惠普笔记本上实现远程代码执行,以及基于远程注册表操作的攻击。” 赛门铁克建议,在惠普发布补丁之前,用户最好在ActiveX控件中设置“kill bit”,但需要修改注册表,对于很多人来说这是一个难度较大的操作。另一种方法是禁用IE浏览器中的Active脚本,但效果要差一些。
这名研究人员称,惠普过去几年销售的所有笔记本预装的ActiveX控件几乎都存在漏洞,但只有23个型号得到证实。这些型号包括HP 510和530、Compaq 2710、2510、6120、6220、6230、6325、6510、6715、6910、7300、8220、8230、8440、8510、8710和9440,以及 NC、NW和NX系列。到目前为止,惠普还没有就此发表评论。
