A HP kritikus firmware-frissítéseket ad ki 2 távoli kódfuttatási biztonsági rés miatt, amelyek 166 nyomtatómodellt érintenek

Hírek
Biztonság / A HP kritikus firmware-frissítéseket ad ki 2 távoli kódfuttatási biztonsági rés miatt, amelyek 166 nyomtatómodellt érintenek 1 perc olvasás

InkJet nagykereskedelmi blog



A HP 100 000 dolláros pénzjutalmat kínált azoknak a kutatóknak, akik napokkal ezelőtt sebezhetőségeket találhatnak nyomtatótermékeikben, és úgy tűnik, hogy két különös jelentés felkeltette a figyelmüket, mivel a vállalat két kritikus hiba firmware-frissítését jelentette meg. A HP arra figyelmeztet, hogy tintasugaras nyomtatóinak százai kiszolgáltatottak két távoli kódfuttatási sebezhetőségnek. A felhasználóknak azonnal frissíteniük kell firmware-jüket, hogy enyhítsék e súlyos fokú biztonsági rések következményeit.

A HP Support Communication Security Bulettin szerint az érintett HP nyomtatókra küldött rosszindulatúan elkészített fájl verem vagy statikus puffer túlcsordulást okozhat, ami utat nyithat a távoli kódfuttatáshoz. Az ilyen biztonsági résekhez rendelt biztonsági címkék: CVE-2018-5924 és CVE-2018-5925 . Mindkét biztonsági rés kritikus, 9,8-as CVSS 3.0 alapértéket kapott.



A HP büszke arra, hogy az egyetlen vállalat, amely ilyen nagyszerű díjakat oszt ki a nyomtatósorában található sebezhetőségek felfedezéséért. Az incidens jelentés után (azonban és bármikor, amikor ez megtörtént) a HP csapata szorgalmasan dolgozott azon, hogy frissítéseket adjon ki a felmerülő kockázatok csökkentése érdekében. A HP vezetői büszkeséget nyilatkoztak csapatuk erőfeszítéseiről és cégük teljesítményéről.



Nem világos, hogy ezeket a biztonsági réseket jelentették-e a programon keresztül, vagy a HP kéz előtt tudott-e ezekről. Az időzítés azonban csak azt mutatja, mintha ez lenne a fejvadászat eredménye. Ettől függetlenül a HP megállta a helyét az önjelölt „világ legbiztonságosabb nyomtatási szolgáltatójaként” azáltal, hogy jóval az ismert sebezhetőségek kihasználása előtt kiadott javításokat.



A 166 érintett, személyes használatú és vállalati hálózathoz csatlakoztatott nyomtatótípus és modell felsorolása a HP alján található biztonsági közlemény kiadása . Ezek a modellek az OfficeJet, DeskJet, Envy nyomtatók, DesignJet és PageWide Pro eszközök széles választékát tartalmazzák. A társított firmware frissítéseket is felsorolták a modellszámok mellett. A HP nyomtatótulajdonosokat arra kérjük, hogy azonnal frissítsék firmware-jüket, hogy ne kockáztassák a két távoli kódfuttatási sebezhetőség következményeit.