Deux nouvelles failles de sécurité critiques ont été trouvées dans les imprimantes HP.
CVE-2018-5924, CVE-2018-5925 dans les imprimantes HP
L'une des vulnérabilités réside dans le firmware de certaines imprimantes HP, et il a été classé comme très critique. Cette vulnérabilité est connue sous le nom CVE-2018-5924 et affecte une fonction inconnue. On sait que la manipulation d'une entrée inconnue conduit à un défaut de corruption de mémoire. La deuxième vulnérabilité, CVE-2018-5925, semble être lié à la première.
Comment une attaque lieu? Comme expliqué par HP, "un fichier malveillant envoyé à un dispositif affecté peut provoquer une pile ou un débordement de la mémoire tampon statique, ce qui pourrait permettre l'exécution de code à distance".
Heureusement, HP a déjà fourni des mises à jour du firmware pour les produits concernés, tels que Pagewide Pro, DesignJet, OfficeJet, imprimantes DeskJet et l'envie.
Pour obtenir le firmware mis à jour, les utilisateurs sont invités à aller à la page du logiciel et pilotes HP pour le produit particulier, trouver la mise à jour du firmware de la liste des logiciels disponibles, et suivre les instructions.
La semaine dernière, HP a annoncé qu'il invitera les pirates de chapeau blanc pour tester ses imprimantes pour les bugs que les pirates pourraient exploiter à des fins malveillantes. Le one-of-a-roi programme de primes bug est lancé en partenariat avec la plate-forme de primes bug Bugcrowd.
Selon un 2018 par rapport Bugcrowd, dispositifs d'extrémité sont de plus en plus ciblés par des acteurs malveillants, avec un 21 pour cent d'augmentation de bogues point final total déclaré l'année dernière. Ainsi, HP a décidé de lancer un programme de divulgation de la vulnérabilité imprimante uniquement encourager les chercheurs à découvrir et à signaler les bugs.
En fonction de l'ampleur de la vulnérabilité, primes de bugs varient entre $500 et $10,000.