HP julkaisee kriittiset laiteohjelmistopäivitykset kahdelle koodin etäsuorittamisen haavoittuvuudelle, jotka vaikuttavat 166 tulostinmalliin

Turvallisuus / HP julkaisee kriittiset laiteohjelmistopäivitykset kahdelle koodin etäsuorittamisen haavoittuvuudelle, jotka vaikuttavat 166 tulostinmalliin 1 minuutti luettu

InkJetin tukkublogi

HP tarjosi 100 000 dollarin rahapalkinnon tutkijoille, jotka löysivät muutama päivä sitten haavoittuvuuksia tulostintuotteistaan, ja näyttää siltä, ​​että kaksi erityisraporttia kiinnitti heidän huomionsa, koska yritys on julkaissut laiteohjelmistopäivitykset kahdelle kriittiselle virheelle. HP varoittaa, että sadat sen mustesuihkutulostimet ovat alttiita kahdelle koodin etäsuorittamisen haavoittuvuudelle. Käyttäjien tulisi päivittää laiteohjelmistonsa välittömästi näiden vakavien haavoittuvuuksien seurausten lieventämiseksi.

HP: n Support Communication Security Bulettinin mukaan haitallisiin HP-tulostimiin lähetetty vahingollisesti muotoiltu tiedosto voi aiheuttaa pinon tai staattisen puskurin ylivuotoa, joka voi tasoittaa koodin etäsuorittamista. Näille haavoittuvuuksille määritetyt suojaustarrat ovat CVE-2018-5924 ja CVE-2018-5925 . Molemmat haavoittuvuudet ovat saaneet kriittiset CVSS 3.0 -pisteet 9,8.

HP on ylpeä siitä, että on ainoa yritys, joka jakaa tällaisia ​​suuria palkintoja haavoittuvuuksien löytämisestä tulostinlinjassaan. Tapahtumaraportin jälkeen (kuitenkin ja aina kun se on ollut mahdollista) HP: n tiimi työskenteli ahkerasti julkaisemaan päivityksiä riskien vähentämiseksi. HP: n johtajat ovat julkaisseet ylpeysilmoituksia tiiminsä ponnisteluista ja yrityksen suorituskyvystä.



On epäselvää, ilmoitettiinko näistä haavoittuvuuksista ohjelman kautta vai oliko HP tietoinen niistä etukäteen. Ajoitus saa kuitenkin vain näyttämään siltä, ​​että tämä olisi palkkionmetsinnän tulos. Huolimatta siitä, HP on pysynyt paikkansa itse julistamana 'maailman turvallisimman tulostuksen' tarjoajana julkaisemalla korjaustiedostot hyvissä ajoin ennen tunnettujen haavoittuvuuksien hyödyntämistä.



Luettelo 166 henkilökohtaiseen käyttöön ja yritysverkkoon liitetyistä tulostintyypeistä ja malleista, jotka ovat vaikuttaneet, julkaistaan ​​HP: n alaosassa tietoturvatiedotteen julkaisu . Nämä mallit sisältävät laajan valikoiman OfficeJet-, DeskJet-, Envy-tulostimia, DesignJet- ja PageWide Pro -laitteita. Liitetyt laiteohjelmistopäivitykset on myös lueteltu mallinumeroiden vieressä. HP: n tulostimien omistajia pyydetään päivittämään laiteohjelmistonsa välittömästi, jotta vältetään kahden koodin suorittamisen etäheikkouden seuraukset.