Computerworld News Service: Angribere kan udnytte fejl i Novells iPrint-applikation til at skaffe sig adgang til virksomheders data eller til at tage kontrol over computere, udtaler sikkerhedseksperter.
Novell har udgivet en patch, der lukker for adskillige sikkerhedshuller i det ActiveX-kontrolelement, som virksomheden leverer som en del af iPrint-produktet, men ifølge danske Secunia står et af sikkerhedshullerne stadig åbent.
Secunia, som indberettede fejlene til Novell, talte mindst otte sårbarheder i det ActiveX-kontrolelement, som er inkluderet med versionen af iPrint-klienten, der er til Windows Vista.
Hertil kommer adskillige andre fejl i en anden iPrint-komponent til Windows Vista.
iPrint er Novells implementering af Internet Printing Protocol (IPP) og lader brugere bruge, installere og admiistrere printere gennem browseren.
Versionen til Windows Vista leveres med Novells Open Enterprise Server 2 og NetWare 6.5 Support Pack 7.
Novell udgav en opdatering til iPrint i sidste uge, som lukkede alle på nær en af sårbarhederne, skriver Secunia i en sikkerhedsadvarsel, som virksomheden offentliggjorde i går.
Med denne opdatering er iPrint nu i version 5.06. En patch til den ældre 4.x-udgave af iPrint er dog endnu ikke tilgængelig.
Den medfølgende information til Novells opdatering udspecificerer kun en af de mange sårbarheder, som Secunia havde fundet og slog resten sammen under overskriften "Security fixes: Multiple Buffer Overflow Security Vulnerabilities."
Dette er ikke første gang, at Novell har været nødt til at stoppe sikkerhedshuller i iPrints ActiveX-kontrol.
For kun to måneder siden fandt en sikkerhedsekspert hos det amerikanske CERT, U.S. Computer Emergency Readiness Team, adskillige sårbarheder i ActiveX-kontrollen til iPrint til Windows 2000 og Windows XP.
Disse sikkerhedshuller lukkede Novell med iPrint 4.36-opdateringen i juni.
ActiveX-sårbarheder er dog meget almindelige. Tidligere i år rapporterede Symantec faktisk, at teknologi fra Microsoft stod for 79 procent af alle fejl i browserplugins i andet halvår af 2007.
Oversat af Thomas Bøndergaard
