InkJet veleprodajni blog
HP je raziskovalcem, ki so pred dnevi lahko našli ranljivosti v svojih tiskalniških izdelkih, ponudil denarno nagrado v višini 100.000 ameriških dolarjev. Zdi se, da sta pozornost pritegnili dve poročili, saj je podjetje izdalo posodobitve vdelane programske opreme za dve kritični napaki. HP opozarja, da je na stotine brizgalnih tiskalnikov ranljivih za dve ranljivosti oddaljenega izvajanja kode. Uporabniki morajo nemudoma posodobiti svojo programsko opremo, da ublažijo posledice teh ranljivih ranljivosti.
Po HP-jevem podpornem varnostnem sporočilu Bulettin lahko zlonamerno izdelana datoteka, poslana prizadetim HP-jevim tiskalnikom, povzroči prelivanje skladovnice ali statičnega vmesnega pomnilnika, kar lahko omogoči oddaljeno izvajanje kode. Varnostne oznake, dodeljene tem ranljivostim, so CVE-2018-5924 in CVE-2018-5925 . Obe ranljivosti sta prejeli kritični osnovni oceni CVSS 3.0 po 9,8.
HP je ponosen, da je edino podjetje, ki podeli tako velike nagrade za odkrivanje ranljivosti v svoji tiskalniški liniji. Na podlagi poročila o incidentu (ne glede na to, kdaj je bilo to mogoče) je HP-jeva ekipa prizadevno izdala posodobitve za ublažitev tveganj. Vodstveni delavci HP-ja so objavili izjave o ponosu nad prizadevanji svoje ekipe in uspešnostjo njihove družbe.
Ni jasno, ali so bile te ranljivosti prijavljene prek programa ali jih je HP že pred tem vedel. Čas pa samo kaže, da je to rezultat lova na glave. Ne glede na to se je HP postavil na svoje mesto kot samooklicani ponudnik 'najvarnejšega tiskanja na svetu', tako da je izdal popravke že pred izkoriščanjem znanih ranljivosti.
Seznam 166 zadevnih vrst in modelov tiskalnikov za osebno rabo in omrežja, ki so povezani s podjetjem, je objavljen na dnu HP-jeve strani izdaja varnostnega biltena . Ti modeli vključujejo široko paleto tiskalnikov OfficeJet, DeskJet, Envy, DesignJet in PageWide Pro. Poleg številk modela so navedene tudi povezane posodobitve vdelane programske opreme. Lastniki HP-jevih tiskalnikov naj nemudoma posodobijo svojo programsko opremo, da ne bi tvegali posledic dveh ranljivosti pri izvajanju oddaljene kode.
