[摘要] 原标题:HP上百款印表机爆远端执行程式码严重漏洞,用户应尽速更新韧体 印表机的安全风险,随着IoT的兴起而更受瞩目,全球印表机知名大厂HP,前阵子(7月31日)刚祭出全球首个印
原标题:HP上百款印表机爆远端执行程式码严重漏洞,用户应尽速更新韧体
印表机的安全风险,随着IoT的兴起而更受瞩目,全球印表机知名大厂HP,前阵子(7月31日)刚祭出全球首个印表机抓漏专案,相隔没几天的时间,他们又公开了2项具高度危险性的韧体瑕疵,并提醒用户尽速修补。本次提供的韧...
印表机的安全风险,随着IoT的兴起而更受瞩目,全球印表机知名大厂HP,前阵子(7月31日)刚祭出全球首个印表机抓漏专案,相隔没几天的时间,他们又公开了2项具高度危险性的韧体瑕疵,并提醒用户尽速修补。
本次提供的韧体更新,主要修补两个具高度危险性的漏洞,将可能引发远端执行程式码攻击。
在HP官方网站的资讯安全公告中,列出了CVE-2018-5924、CVE-2018-5925的漏洞,两者在CVSS△3.0评分高达9.8,均列为严重等级。
HP也简单说明了此次弱点摘要,主要是多款喷墨印表机上发现有两个安全漏洞,一旦骇客远端传送恶意制作档案至受影响装置,可能触发堆叠或静态缓冲区溢位(Buffer△Overflow),进一步导致远端执行任意程式码的威胁。
根据HP公布的统计资讯显示,高达166款HP产品系列受到影响,几乎遍及HP旗下喷墨系列印表机,包括OfficeJet商用系列近54款、大图输出机产品DesignJet系列近24款、高速印表机PageWide系列22款,以及Deskjet与ENVY、Photosmart等系列产品。所幸的是,LaserJet系列雷射印表机并不在清单内。
目前,HP已公告相关韧体更新版本,使用者应尽快前往产品的“软件和驱动程式”页面,并按照提供的指示来进行韧体更新。
事实上,此次更新修补影响层面甚广。以近年HP印表机高度风险等级的韧体更新来看,例如,去年11月的CVE-2017-2750漏洞,CVSS△3.0评分是8.1,影响50款雷射与喷墨引表机;而去年2月的CVE-2016-1503漏洞,CVSS△3.0计分也高达9.8,但仅影响27款OfficeJet与PageWide系列产品。相较之下,这次两个漏洞不仅具高度危险性,并且影响机款极多。
由于HP本月发布这两个漏洞修补的时间,与他们公布抓漏奖励计划的时间点很接近。经我们与HP确认,其实与抓漏计划(Bug△Bounty△program)完全无关。
HP表示,他们是经由第三方研究机构的回馈,了解到部分印表机存在网络安全风险,目前他们也已经提供韧体更新方案以降低风险,并发布资讯安全公告。而在资讯安全公告页面上,其实也有公布这起事件,是由TBA发现并通报HP。
至于上月底HP祭出的全球首个印表机抓漏专案,是他们与Crowdsourced△Security的漏洞悬赏平台Bugcrowd合作,依据漏洞的严重程度,提供500美元到1万美元的奖金。
据了解,这是一项邀请制的漏洞奖励计划,并非公开的抓漏专案,由受邀的研究人员担任奖金猎人,借由入侵他们旗下的印表机产品,以协助寻找这些印表机的韧体安全漏洞。
在这次引表机产品抓漏奖励计划中, HP尚未制定该抓漏专案的期限,但也计划将该专案,延伸至旗下的PC产品线。只是,未来是否将转成公开形式让各界参与,HP则没有相关说明。
HP近日发布的资讯安全公告中,旗下多款喷墨印表机,存在两个具高度危险性的漏洞,目前他们也已经提供韧体更新方案以降低风险,呼吁用户尽速进行韧体更新以修补漏洞。
iThome△Security
橙山网(Csnd.net)简评:本次提供的韧...印表机的安全风险,随着IoT的兴起而更受瞩目,全球印表机知名大厂HP,前阵子(7月31日)刚祭出全球首个印表机抓漏专案,相隔没几天的时间,他们又公开了2项具高度危险性的韧体瑕疵,并提
网友评论