HP fläckar svår kod bugg i företagets skrivare

0
186

Noll

screen-shot-2017-11-23-at-09-56-57.jpg
HP

HP har utfärdat firmware patchar för att fixa ett säkerhetsproblem som gjort det möjligt för angripare att utföra fjärrkörning av kod attacker på enterprise-klass skrivare.

Fingerborgsblomma Säkerhet forskare som utfärdats av en rådgivande att avslöja de tekniska detaljerna i bugg, CVE-2017-2750, tidigare i veckan.

Teamet testat HP: s PageWide Enterprise Färg MFP 586 och HP Color LaserJet Enterprise M553 modeller, och fann att de hade möjlighet att utföra reverse engineering “.BDL” (bundle) extension-filer som finns i HP: s firmware.

Efter reverse engineering koden, var forskarna möjlighet att skapa och ladda upp tillverkade av fast programvara för att upptäcka om validering av signaturer sker i syfte att kringgå detta skydd.

På grund av “otillräcklig lösning DLL validering av signaturer,” Fingerborgsblomma sedan kunna använda denna information för att skapa skadliga program speciellt designat för att utnyttja den skrivare varierar’ svagheter i säkerheten som leder till fjärrkörning av kod.

Säkerhetsbrist rapporterades HP på 21: a augusti, 2017, är rankad 8.1 på CVSS skala.

Enligt HP: s säkerhetsmeddelande, sårbarhet effekter ett brett utbud av affärs-klar skrivare, inklusive HP Color LaserJet Enterprise M651, HP Color LaserJet M680, HP LaserJet Enterprise Flöde MFP M631, HP PageWide Enterprise Färg X556, och många andra.

Sett till ThreatPost, tech jätten sade att HP är “medvetna om problemet” och plåstret är nu klar för distribution.

“Uppdaterade system inte utsätts för dessa sårbarheter och kunder uppmuntras att distribuera fix,” HP sa.

En firmware-uppdatering har nu släppts för att åtgärda felet, som kan laddas ner manuellt från HP via firmware sökverktyg.

FoxGlove ‘ s projekt har varit inlagd på GitHub.

Tidigare och relaterade täckning

Linus Torvalds: “jag litar inte på säkerheten för människor att göra vettiga saker” Bug bounty hunter avslöjar DJI SSL -, firmware-nycklar har varit offentliga i år Oracle skjuter emergency patch för kritiska Tuxedo-server sårbarhet

Relaterade Ämnen:

HP Inc.

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0