原标题：HP上百款印表机爆远端执行程式码严重漏洞，用户应尽速更新韧体

印表机的安全风险，随着IoT的兴起而更受瞩目，全球印表机知名大厂HP，前阵子（7月31日）刚祭出全球首个印表机抓漏专案，相隔没几天的时间，他们又公开了2项具高度危险性的韧体瑕疵，并提醒用户尽速修补。

本次提供的韧体更新，主要修补两个具高度危险性的漏洞，将可能引发远端执行程式码攻击。

在HP官方网站的资讯安全公告中，列出了CVE-2018-5924、CVE-2018-5925的漏洞，两者在CVSS△3.0评分高达9.8，均列为严重等级。

HP也简单说明了此次弱点摘要，主要是多款喷墨印表机上发现有两个安全漏洞，一旦骇客远端传送恶意制作档案至受影响装置，可能触发堆叠或静态缓冲区溢位（Buffer△Overflow），进一步导致远端执行任意程式码的威胁。

根据HP公布的统计资讯显示，高达166款HP产品系列受到影响，几乎遍及HP旗下喷墨系列印表机，包括OfficeJet商用系列近54款、大图输出机产品DesignJet系列近24款、高速印表机PageWide系列22款，以及Deskjet与ENVY、Photosmart等系列产品。所幸的是，LaserJet系列雷射印表机并不在清单内。

目前，HP已公告相关韧体更新版本，使用者应尽快前往产品的“软件和驱动程式”页面，并按照提供的指示来进行韧体更新。

事实上，此次更新修补影响层面甚广。以近年HP印表机高度风险等级的韧体更新来看，例如，去年11月的CVE-2017-2750漏洞，CVSS△3.0评分是8.1，影响50款雷射与喷墨引表机；而去年2月的CVE-2016-1503漏洞，CVSS△3.0计分也高达9.8，但仅影响27款OfficeJet与PageWide系列产品。相较之下，这次两个漏洞不仅具高度危险性，并且影响机款极多。

由于HP本月发布这两个漏洞修补的时间，与他们公布抓漏奖励计划的时间点很接近。经我们与HP确认，其实与抓漏计划（Bug△Bounty△program）完全无关。

HP表示，他们是经由第三方研究机构的回馈，了解到部分印表机存在网络安全风险，目前他们也已经提供韧体更新方案以降低风险，并发布资讯安全公告。而在资讯安全公告页面上，其实也有公布这起事件，是由TBA发现并通报HP。

至于上月底HP祭出的全球首个印表机抓漏专案，是他们与Crowdsourced△Security的漏洞悬赏平台Bugcrowd合作，依据漏洞的严重程度，提供500美元到1万美元的奖金。

据了解，这是一项邀请制的漏洞奖励计划，并非公开的抓漏专案，由受邀的研究人员担任奖金猎人，借由入侵他们旗下的印表机产品，以协助寻找这些印表机的韧体安全漏洞。

在这次引表机产品抓漏奖励计划中， HP尚未制定该抓漏专案的期限，但也计划将该专案，延伸至旗下的PC产品线。只是，未来是否将转成公开形式让各界参与，HP则没有相关说明。

HP近日发布的资讯安全公告中，旗下多款喷墨印表机，存在两个具高度危险性的漏洞，目前他们也已经提供韧体更新方案以降低风险，呼吁用户尽速进行韧体更新以修补漏洞。

iThome△Security

tags：

上一篇  下一篇

相关：

【DEF CON 18】：靠机器学习就能准确分辨程式出自何人之手

图片来源: Def△Con 美国卓克索大学（Drexel△University）电脑科学系副教授Rachel△Greenstadt与乔治华盛顿大学（George△Washington△University）电脑科学系助理教授Aylin△Caliskan上周在Def△Con骇客大会上公布

【DEF CON 18】：25款Android手机的韧体或预载程式含有安全漏洞

示意图，与新闻事件无关。 行动资安业者Kryptowire在上周于拉斯维加斯（Las△Vegas）展开的DEFCON骇客大会上揭露，有25款Android手机在出厂时的韧体或预设程式就含有安全漏洞，在这些装置上总计找到大大小小的35个

Check Point：骇客只要有电话线跟传真号码就能攻陷企业印表机

图片来源: Check△Point 你的印表机是具备传真能力的多功能印表机吗？Check△Point本周展示了导入传真协议的多个安全漏洞，相关漏洞将允许骇客通过一条电话线与传真号码来攻陷远端的传真机或多功能印表机，取得装置的

【Black Hat 18】：小心mPOS读卡机内含安全漏洞，窜改消费金额让你荷包大失血

示意图，与新闻事件无关。 企业安全解决方案供应商Positive△Technologies在上周举行的黑帽（Black△Hat）骇客大会上指出，行动收银机（mobile△point-of-sale，mPOS）装置含有众多漏洞，将允许不良商家窜改荧幕上

研究指四间 Android 手机厂商韧体存在安全漏洞 | 香港 UNWIRE.HK 玩生活．乐科技

手机系统随着安装的应用程序变多，安全漏洞也可能会增加，不过如果是系统本身存在漏洞，则是更严重的问题。最近一个研究机构表示，有几个 Android 手机厂商的韧体存在漏洞，有机会被骇客利用攻击。保安研究机构 Kryp