La squadra statunitense di pronto intervento per le emergenze informatiche (CERT USA) ha avvertito gli utenti dei notebook Acer che un controllo ActiveX preinstallato potrebbe essere utilizzato dagli hacker per prendere il controllo dei computer vulnerabili.
Secondo l'agenzia, se un hacker convince un utente a visitare un sito web appositamente predisposto utilizzando Internet Explorer potrebbero sovvertire il sistema eseguendo codice arbitrario con i privilegi di utente. Il controllo ActiveX Acer LunchApp è fornito da LunchApp.ocx. Contiene un metodo chiamato Run(), che accetta tre parametri: Drive, FileName e CmdLine.
'Sebbene il controllo non sia intrinsecamente contrassegnato come sicuro per lo scripting tramite l'interfaccia IObjectSafety, potrebbe esserlo distribuito con la chiave di registro delle Categorie implementate appropriata per renderlo sicuro per lo scripting", ha affermato l'agenzia sul suo sito web. "Ciò significa che una pagina web in Internet Explorer può richiamare il metodo Run() del controllo."
Acer ha rilasciato un aggiornamento chiamato Acer Preload Security Patch per Windows XP. Questa patch annulla la registrazione ed elimina il file LunchApp.ocx se è presente nella directory di sistema di Windows.
La vulnerabilità è stata originariamente scoperta da Tan Chew Keong. Ha scritto sul suo blog di aver trovato la vulnerabilità sul suo notebook Acer TravelMate 4150 e che il controllo ActiveX faceva parte della suite di applicazioni distribuite sui notebook Acer già nel novembre 1998.
