HP上百款印表机爆远端执行程式码严重漏洞，用户应尽速更新韧体,,本次提供的韧...印

原标题：HP上百款印表机爆远端执行程式码严重漏洞，用户应尽速更新韧体

印表机的安全风险，随着IoT的兴起而更受瞩目，全球印表机知名大厂HP，前阵子（7月31日）刚祭出全球首个印表机抓漏专案，相隔没几天的时间，他们又公开了2项具高度危险性的韧体瑕疵，并提醒用户尽速修补。本次提供的韧...

印表机的安全风险，随着IoT的兴起而更受瞩目，全球印表机知名大厂HP，前阵子（7月31日）刚祭出全球首个印表机抓漏专案，相隔没几天的时间，他们又公开了2项具高度危险性的韧体瑕疵，并提醒用户尽速修补。

本次提供的韧体更新，主要修补两个具高度危险性的漏洞，将可能引发远端执行程式码攻击。

在HP官方网站的资讯安全公告中，列出了CVE-2018-5924、CVE-2018-5925的漏洞，两者在CVSS△3.0评分高达9.8，均列为严重等级。

HP也简单说明了此次弱点摘要，主要是多款喷墨印表机上发现有两个安全漏洞，一旦骇客远端传送恶意制作档案至受影响装置，可能触发堆叠或静态缓冲区溢位（Buffer△Overflow），进一步导致远端执行任意程式码的威胁。

根据HP公布的统计资讯显示，高达166款HP产品系列受到影响，几乎遍及HP旗下喷墨系列印表机，包括OfficeJet商用系列近54款、大图输出机产品DesignJet系列近24款、高速印表机PageWide系列22款，以及Deskjet与ENVY、Photosmart等系列产品。所幸的是，LaserJet系列雷射印表机并不在清单内。

目前，HP已公告相关韧体更新版本，使用者应尽快前往产品的“软件和驱动程式”页面，并按照提供的指示来进行韧体更新。

事实上，此次更新修补影响层面甚广。以近年HP印表机高度风险等级的韧体更新来看，例如，去年11月的CVE-2017-2750漏洞，CVSS△3.0评分是8.1，影响50款雷射与喷墨引表机；而去年2月的CVE-2016-1503漏洞，CVSS△3.0计分也高达9.8，但仅影响27款OfficeJet与PageWide系列产品。相较之下，这次两个漏洞不仅具高度危险性，并且影响机款极多。

由于HP本月发布这两个漏洞修补的时间，与他们公布抓漏奖励计划的时间点很接近。经我们与HP确认，其实与抓漏计划（Bug△Bounty△program）完全无关。

HP表示，他们是经由第三方研究机构的回馈，了解到部分印表机存在网络安全风险，目前他们也已经提供韧体更新方案以降低风险，并发布资讯安全公告。而在资讯安全公告页面上，其实也有公布这起事件，是由TBA发现并通报HP。

至于上月底HP祭出的全球首个印表机抓漏专案，是他们与Crowdsourced△Security的漏洞悬赏平台Bugcrowd合作，依据漏洞的严重程度，提供500美元到1万美元的奖金。

据了解，这是一项邀请制的漏洞奖励计划，并非公开的抓漏专案，由受邀的研究人员担任奖金猎人，借由入侵他们旗下的印表机产品，以协助寻找这些印表机的韧体安全漏洞。

在这次引表机产品抓漏奖励计划中， HP尚未制定该抓漏专案的期限，但也计划将该专案，延伸至旗下的PC产品线。只是，未来是否将转成公开形式让各界参与，HP则没有相关说明。

HP近日发布的资讯安全公告中，旗下多款喷墨印表机，存在两个具高度危险性的漏洞，目前他们也已经提供韧体更新方案以降低风险，呼吁用户尽速进行韧体更新以修补漏洞。

iThome△Security

橙山网（Csnd.net）简评：本次提供的韧...印表机的安全风险，随着IoT的兴起而更受瞩目，全球印表机知名大厂HP，前阵子（7月31日）刚祭出全球首个印表机抓漏专案，相隔没几天的时间，他们又公开了2项具高度危险性的韧体瑕疵，并提