InkJet Wholesale Blog
Ang HP ay nag-alok ng $ 100,000 cash na gantimpala sa mga mananaliksik na maaaring makahanap ng mga kahinaan sa mga produktong printer nito mga araw lamang ang nakalilipas, at tila ang dalawang partikular na ulat ang nakakuha ng kanilang pansin habang naglabas ang kumpanya ng mga pag-update ng firmware para sa dalawang kritikal na mga bug. Nagbabala ang HP na daan-daang mga printer ng Inkjet nito ang mahina laban sa dalawang mga kahinaan sa remote code na pagpapatupad. Dapat i-update kaagad ng mga gumagamit ang kanilang firmware upang mabawasan ang mga kahihinatnan ng mga matinding kahinaan sa antas na ito.
Ayon sa Suporta sa Komunikasyon ng Komunidad na Bulettin ng HP, isang nakamamatay na paggawa ng file na ipinadala sa mga apektadong printer ng HP ay maaaring maging sanhi ng isang stack o static buffer overflow na maaaring maging daan para sa pagpapatupad ng remote code. Ang mga label ng seguridad na nakatalaga sa mga kahinaan na ito ay CVE-2018-5924 at CVE-2018-5925 . Ang parehong mga kahinaan ay nakatanggap ng kritikal na mga marka ng batayang CVSS 3.0 na 9.8 bawat isa.
Ipinagmamalaki ng HP ang pagiging nag-iisang kumpanya na namigay ng gayong mga dakilang parangal para sa pagtuklas ng mga kahinaan sa linya ng printer nito. Sa ulat ng insidente (gayunpaman at kailan man maaaring nangyari iyon), masigasig na nagtatrabaho ang koponan ng HP upang palabasin ang mga pag-update upang mapagaan ang mga peligro na ibinigay. Ang mga executive ng HP ay naglabas ng mga pahayag ng pagmamataas patungo sa pagsisikap ng kanilang koponan at ang track record ng pagganap ng kanilang firm.
Hindi malinaw kung ang mga kahinaan na ito ay naiulat sa pamamagitan ng programa o kung may kamalayan ang HP sa mga ito bago ang kamay. Ang tiyempo, gayunpaman, ay lilitaw lamang na parang ito ang kinalabasan ng bounty hunt. Hindi alintana, ang HP ay nanindigan bilang tagapagtaguyod ng 'pinaka-ligtas na pag-print sa mundo' provider sa pamamagitan ng paglabas ng mga patch nang maayos bago ang anumang pagsasamantala sa mga kilalang kahinaan.
Ang isang listahan ng 166 personal na paggamit at mga koneksyon sa network na nakakonekta sa network ng kumpanya at mga modelo na apektado ay na-publish sa ilalim ng HP's paglabas ng bulletin ng seguridad . Ang mga modelong ito ay nagsasama ng isang malawak na hanay ng mga aparato ng OfficeJet, DeskJet, Mga inggit na printer, DesignJet, at PageWide Pro na mga aparato. Ang mga nauugnay na pag-update sa firmware ay nakalista din sa tabi ng mga numero ng modelo. Hiniling sa mga nagmamay-ari ng printer ng HP na i-update kaagad ang kanilang firmware upang maiwasan na mapanganib ang mga kahihinatnan ng dalawang mga kahinaan sa pagpapatupad ng remote code.
