HPプリンターにいくつかの新しい重大なセキュリティ上の欠陥が見つかりました.
CVE-2018-5924, HPプリンターのCVE-2018-5925
脆弱性の1つは、特定のHPプリンターのファームウェアに存在します, そしてそれは非常に重要なものとして分類されています. この脆弱性は、 CVE-2018-5924 未知の機能に影響を与えます. 知られていることは、未知の入力での操作がメモリ破損の欠陥につながるということです. 2番目の脆弱性, CVE-2018-5925, 最初のものに関連しているようです.
どのように攻撃を行うことができますか? HPが説明したように, 「「影響を受けるデバイスに送信された悪意を持って作成されたファイルは、スタックまたは静的バッファオーバーフローを引き起こす可能性があります, これにより、リモートでコードが実行される可能性があります」.
幸運, HPは、影響を受ける製品のファームウェアアップデートをすでに提供しています, PagewideProなど, DesignJet, OfficeJet, DeskJetおよびEnvyプリンター.
更新されたファームウェアを入手するには, ユーザーは、特定の製品のHPソフトウェアおよびドライバーのページにアクセスすることをお勧めします, 利用可能なソフトウェアのリストからファームウェアアップデートを見つけます, と 従う 説明書.
先週, HPは、ハッカーが悪意のある目的で悪用する可能性のあるバグについてプリンターをテストするために、ホワイトハッカーを招待すると発表しました。. 独自のバグ報奨金プログラムは、バグ報奨金プラットフォームBugcrowdと提携して開始されます.
によると 2018 Bugcrowdによるレポート, エンドポイントデバイスはますます悪意のある攻撃者の標的になります, とともに 21 昨年報告されたエンドポイントバグの総数の増加率. したがって, HPは、プリンターのみの脆弱性開示プログラムを開始することを決定しました バグを発見して報告するように研究者を奨励する.
脆弱性の規模に応じて, バグバウンティは $500 と $10,000.