惠普在InkJet打印机中插入了严重的RCE缺陷

惠普已修复了两个严重漏洞(CVE-2018-5924,CVE-2018-5925),这些漏洞影响了许多InkJet打印机,并敦促用户尽快实施提供的固件更新。

 生命值  InkJet打印机漏洞

由尚不具名的第三方研究人员发现和报告的漏洞可以通过将恶意制作的文件发送到受影响的设备来触发。这样的文件可能导致堆栈或静态缓冲区溢出,从而可能允许远程执行代码。

受影响的设备列表 包括Pagewide Pro,DesignJet,OfficeJet,DeskJet和Envy产品线。

可以从打印机或从HP网站直接下载和安装更新(可以找到有关操作方法的说明) 这里 )。

生命值 ’的打印安全漏洞赏金计划

该公司没有提及是否将其插入的漏洞标记为该漏洞的一部分。 新发现 在5月与Bugcrowd一起启动的漏洞赏金计划,但它’可能是。

目前,该程序仍处于私有状态。

根据 CSO在线 ,邀请了34位研究人员参加。他们被告知将工作限于终端设备(所有HP企业打印机),并专注于固件级别的漏洞,包括远程执行代码,跨站点请求伪造(CSRF)和跨站点脚本(XSS)漏洞。

漏洞报告将通过Bugcrowd完成,该漏洞将验证Bug并根据漏洞的严重性对研究人员进行奖励,并奖励最高10,000美元。

“报告将评估惠普先前发现的漏洞,并可能向研究人员提供诚信奖励,” 生命值 noted.

Shivaun Albright,惠普’印刷安全首席技术人员说,该公司在开发打印机时已经在牢记安全性,但是他们想看看他们是否错过了任何东西。

惠普引用Bugcrowd的最新Bug赏金状况报告指出,新兴的主要攻击者集中在端点设备上,并且该行业的总打印漏洞在过去一年中增加了21%。

分享这个