„HP“ išleidžia kritinius programinės aparatinės įrangos naujinimus, skirtus 2 nuotolinio kodo vykdymo pažeidžiamumui, turinčiam įtakos 166 spausdintuvų modeliams

Žinios
Saugumas / „HP“ išleidžia kritinius programinės aparatinės įrangos naujinimus, skirtus 2 nuotolinio kodo vykdymo pažeidžiamumui, turinčiam įtakos 166 spausdintuvų modeliams 1 minutė perskaityta

„InkJet“ didmeninės prekybos tinklaraštis



HP pasiūlė 100 000 USD piniginį prizą tyrėjams, kurie vos prieš kelias dienas galėjo rasti savo spausdintuvo gaminių pažeidžiamumų, ir atrodo, kad jų dėmesį patraukė dvi konkrečios ataskaitos, nes įmonė išleido dviejų kritinių klaidų programinės įrangos atnaujinimus. HP įspėja, kad šimtai jos rašalinių spausdintuvų yra pažeidžiami dviejų nuotolinio kodo vykdymo pažeidimų. Vartotojai turėtų nedelsdami atnaujinti savo programinę-aparatinę įrangą, kad sumažintų šių sunkių pažeidžiamumų pasekmes.

Pasak „HP Support Communication Security Bulettin“, piktavališkai sukurtas failas, nusiųstas paveiktiems HP spausdintuvams, gali sukelti kamino ar statinio buferio perpildymą, kuris gali atverti kelią nuotoliniam kodo vykdymui. Šiems pažeidžiamumams priskirtos saugos etiketės yra CVE-2018-5924 ir CVE-2018-5925 . Abu pažeidžiamumai gavo kritinius CVSS 3.0 bazinius balus po 9,8.



HP didžiuojasi būdama vienintelė įmonė, išdalinanti tokius didelius apdovanojimus už savo spausdintuvo linijos pažeidžiamumų atradimą. Gavusi pranešimą apie įvykį (tačiau, kai tik taip galėjo būti), HP komanda kruopščiai dirbo išleisdama atnaujinimus, kad sumažintų keliamą riziką. HP vadovai paskelbė pasididžiavimo pareiškimus dėl savo komandos pastangų ir savo įmonės veiklos rezultatų.



Neaišku, ar apie šias spragas buvo pranešta per programą, ar HP apie jas žinojo anksčiau. Tačiau dėl laiko tik atrodo, kad tai yra premijų medžioklės rezultatas. Nepaisant to, HP atsilaikė kaip „saugiausio pasaulyje spausdinimo“ tiekėjas, išleisdamas pataisas dar prieš išnaudodamas žinomas spragas.



HP apačioje paskelbtas 166 paveiktų asmeninio naudojimo ir su įmonės tinklu susijusių spausdintuvų tipų ir modelių sąrašas saugumo biuletenio išleidimas . Šie modeliai apima platų „OfficeJet“, „DeskJet“, „Envy“ spausdintuvų, „DesignJet“ ir „PageWide Pro“ įrenginių asortimentą. Susiję programinės aparatinės įrangos atnaujinimai taip pat buvo nurodyti šalia modelių numerių. HP spausdintuvų savininkų prašoma nedelsiant atnaujinti savo programinę-aparatinę įrangą, kad būtų išvengta dviejų nuotolinio kodo vykdymo pažeidžiamumo pasekmių.