InkJet Wholesale Blog
HP tilbød en kontantpræmie på $ 100.000 til forskere, der kunne finde sårbarheder i sine printerprodukter for få dage siden, og det ser ud til, at to bestemte rapporter fangede deres opmærksomhed, da virksomheden har frigivet firmwareopdateringer til to kritiske fejl. HP advarer om, at hundreder af sine Inkjet-printere er sårbare over for to sårbarheder med fjernudførelse af kode. Brugere skal straks opdatere deres firmware for at afbøde konsekvenserne af disse alvorlige sårbarheder.
Ifølge HPs supportkommunikationssikkerhed Bulettin kan en ondsindet udformet fil, der sendes til de berørte HP-printere, forårsage en stak eller statisk bufferoverløb, som kan bane vejen for fjernkørsel af kode. Sikkerhedsmærkaterne tildelt disse sårbarheder er CVE-2018-5924 og CVE-2018-5925 . Begge sårbarheder har modtaget kritiske CVSS 3.0-basescores på 9,8 hver.
HP sætter en ære i at være det eneste firma, der uddeler sådanne store priser for opdagelsen af sårbarheder i sin printerlinje. Efter hændelsesrapporten (dog når som helst det kunne have været) arbejdede HPs team flittigt med at frigive opdateringer for at mindske de risici, der var forbundet med. Ledere hos HP har frigivet stolthedserklæringer over indsatsen fra deres team og deres virksomheds resultater.
Det er uklart, om disse sårbarheder blev rapporteret gennem programmet, eller om HP var klar over dem før hånden. Timingen får det dog kun til at se ud som om dette er resultatet af dusørjagt. Uanset hvad har HP stået sin plads som den selvudråbte 'verdens sikreste udskrivning' -udbyder ved at frigive patches i god tid inden nogen udnyttelse af de kendte sårbarheder.
En liste over 166 personlige brug og virksomhedsnetværksforbundne printertyper og modeller, der er berørt, offentliggøres i bunden af HP'er frigivelse af sikkerhedsbulletin . Disse modeller inkluderer en bred vifte af OfficeJet-, DeskJet-, Envy-printere, DesignJet og PageWide Pro-enheder. Tilknyttede firmwareopdateringer er også blevet vist ved siden af modelnumrene. HP-printerejere bliver bedt om at opdatere deres firmware med det samme for at undgå at risikere konsekvenserne af de to sårbarheder i forbindelse med fjernudførelse af kode.
