InkJet grossistblogg
HP erbjöd ett kontantpris på 100 000 dollar till forskare som kunde hitta sårbarheter i sina skrivarprodukter för bara några dagar sedan, och det verkar som om två specifika rapporter fångade deras uppmärksamhet eftersom företaget har släppt firmwareuppdateringar för två kritiska buggar. HP varnar för att hundratals av sina bläckstråleskrivare är sårbara för två sårbarheter för fjärrkörning av kod. Användare bör uppdatera sin firmware omedelbart för att mildra konsekvenserna av dessa allvarliga sårbarheter.
Enligt HP: s supportkommunikationssäkerhets Bulettin kan en skadligt skapad fil som skickas till de drabbade HP-skrivarna orsaka en stack eller statisk buffertöverflöd som kan bana väg för fjärrkörning av kod. Säkerhetsetiketterna tilldelade dessa sårbarheter är CVE-2018-5924 och CVE-2018-5925 . Båda sårbarheterna har fått kritiska CVSS 3.0-baspoäng på 9,8 vardera.
HP är stolt över att vara det enda företaget som delar ut sådana stora utmärkelser för upptäckten av sårbarheter i sin skrivarlinje. Efter incidentrapporten (men närhelst det kan ha varit) arbetade HP: s team flitigt med att släppa uppdateringar för att mildra riskerna. Cheferna på HP har släppt stolthet över sitt team och deras företags resultat.
Det är oklart om dessa sårbarheter rapporterades genom programmet eller om HP var medveten om dem innan hand. Tidpunkten får det dock bara att se ut som om detta är resultatet av bountyjakten. Oavsett har HP stått på sin plats som den självutnämnda 'världens säkraste utskriftsleverantören' genom att släppa patchar långt innan någon utnyttjar de kända sårbarheterna.
En lista över 166 personligt bruk och företagets nätverksanslutna skrivartyper och modeller som berörs publiceras längst ner på HP release av säkerhetsbulletin . Dessa modeller inkluderar ett brett utbud av OfficeJet-, DeskJet-, Envy-skrivare, DesignJet och PageWide Pro-enheter. Tillhörande firmwareuppdateringar har också listats bredvid modellnumren. HP-skrivarägare ombeds uppdatera sin firmware omedelbart för att undvika att riskera konsekvenserna av de två sårbarheterna för fjärrkörning av kod.
